EDPB werpt licht op anonimisering en webscraping voor generatieve AI en keurt definitieve versie van richtlijnen voor blockchain goed

  • EDPB News

Brussel, 8 juli – Tijdens zijn meest recente plenaire vergadering heeft het EDPB richtsnoeren inzake anonimisering en richtsnoeren inzake webscraping in de context van generatieve AI vastgesteld. Daarnaast heeft het bestuur de definitieve versie van zijn richtlijnen voor de verwerking van persoonsgegevens door middel van blockchain-technologieën aangenomen.

Anonieme gegevens begrijpen

De nieuwe EDPB-richtsnoeren verschaffen duidelijkheid over het begrip anonieme gegevens, mede rekening houdend met het arrest van het Hof van Justitie van de EU in zaak C-413/23 P EDPS/GAR van 4 september 2025 en andere jurisprudentie van het HvJ-EU.

De richtsnoeren zijn een belangrijke mijlpaal in het verduidelijken van het begrip anonieme gegevens en het vaststellen van duidelijke normen die het gebruik van gegevens vergemakkelijken en tegelijkertijd de grondrechten van personen beschermen.

Bij de ontwikkeling van deze richtsnoeren hebben we waardevolle input van ons evenement met belanghebbenden opgenomen, waaruit nogmaals blijkt dat we ons sterk inzetten voor een gezamenlijke dialoog, zoals uiteengezet in de verklaring van het EDPB van Helsinki.

EDPB-voorzitter, Anu Talus

Gegevens zijn anoniem als ze geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Of dit het geval is, kan van entiteit tot entiteit verschillen.

Informatie kan betrekking hebben op een persoon vanwege de inhoud, het doel of het effect ervan. Het is mogelijk dat het bestaan van een dergelijk verband niet onmiddellijk duidelijk is en nader moet worden onderzocht.

Een persoon wordt als "geïdentificeerd of identificeerbaar" beschouwd als hij in een specifieke context van anderen kan worden onderscheiden met middelen die redelijkerwijs kunnen worden gebruikt op een manier die het mogelijk maakt hem anders te behandelen. Of het redelijkerwijs waarschijnlijk is dat de middelen zullen worden gebruikt, hangt af van het perspectief van de betrokken entiteit en moet worden beoordeeld in het licht van alle objectieve factoren.

De richtsnoeren bieden organisaties ook een praktisch kader om te bepalen of anonimisering succesvol is. Het kader kan op twee manieren worden toegepast: hetzij door verschillen in capaciteiten te beoordelen tussen degenen die de persoon zouden kunnen identificeren (“contextuele benadering”), hetzij ter wille van de eenvoud door geen rekening te houden met dergelijke verschillen (“vereenvoudigde benadering”), indien een verwerkingsverantwoordelijke daarvoor kiest. De contextuele benadering weerspiegelt de volledige nuances van de wettelijke norm voor anonimisering. De vereenvoudigde aanpak kan verder gaan dan de wettelijke norm en kan ertoe leiden dat een anonimiserende verwerkingsverantwoordelijke gegevens behandelt alsof deze niet anoniem zijn, zelfs als dit voor sommige relevante entiteiten wel het geval zou zijn, maar deze aanpak kan handiger zijn en meer vertrouwen geven dat gegevens daadwerkelijk anoniem zijn.

Het kader maakt gebruik van drie criteria om te testen of gegevens anoniem zijn: 1) geen recordisolatie, 2) geen koppeling , en 3) geen gevolgtrekking. Als aan alle drie de criteria is voldaan, kunnen de gegevens veilig als anoniem worden beschouwd. Als aan een van deze criteria niet wordt voldaan, moet verdere analyse worden uitgevoerd om te bepalen of de gegevens als anoniem kunnen worden beschouwd.

De richtsnoeren zullen tot en met 30 oktober 2026 aan een openbare raadpleging worden onderworpen, zodat belanghebbenden opmerkingen kunnen maken en feedback kunnen geven.

Verduidelijking van de gevolgen van webscraping voor de ontwikkeling van AI op het gebied van gegevensbescherming

Web scraping is een grootschalig geautomatiseerd gegevensextractieproces dat vaak werkt zonder dat individuen zich daarvan bewust zijn en dat aanzienlijke risico's kan vormen voor de bescherming van hun persoonsgegevens. In zijn richtsnoeren inzake webscraping in het kader van generatieve AI* verduidelijkt hetComité verschillende aspecten van de AVG-naleving van webscraping, waaronder de rechtsgrondslag voor dergelijke activiteiten en de voorwaarden waaronder bijzondere categorieën gegevens in dit verband kunnen worden verwerkt.

De AVG is van toepassing op webscraping wanneer deze verwerking van persoonsgegevens omvat, zoals verzameling,opslag, organisatie en opvraging.

Bij het gebruik van webscraping moet bijzondere aandacht worden besteed aan het beginsel van doelbinding en aan het transparantiebeginsel. Afhankelijk van hoe de gegevensverwerking precies is ontworpen, hoeft de verwerkingsverantwoordelijke personen mogelijk niet persoonlijk te informeren als dit onmogelijk blijkt of buitensporige inspanningen vereist.

Het EDPB beveelt aan om gegevens alleen uit betrouwbare bronnen te schrappen, de tijdstempel te registreren en de gegevens te valideren voordat ze in AI-opleidingen worden gebruikt om naleving van het nauwkeurigheidsbeginsel te waarborgen. In de richtsnoeren wordt ook advies gegeven over de maatregelen die de verwerkingsverantwoordelijke moet nemen om te voldoen aan het beginsel van minimale gegevensverwerking.

Voortbouwend op het advies van het EDPB over AI-modellen bieden de richtsnoeren verdere verduidelijkingen en voorbeelden over het gebruik van de rechtsgrondslag voor gerechtvaardigd belang in de specifieke context van webscraping voor AI-opleidingen.

Tot slot herinnert het EDPB eraan dat de verwerking van bijzondere categorieën persoonsgegevens in beginsel verboden is. Als webscraping dergelijke gegevens omvat, zijn zowel een wettelijke basis op grond van artikel 6 van de AVG als een uitzondering op grond van artikel 9, lid 2, van de AVG vereist. Het EDPB stelt voor dat het arrest van het Hof in de zaak GC & Others (C-136/17) relevant kan zijn voor de incidentele of resterende verzameling van bijzondere categorieën persoonsgegevens, mits de verwerkingsverantwoordelijke handelt binnen het “kader van zijn verantwoordelijkheden, bevoegdheden en capaciteiten” en passende technische en organisatorische maatregelen treft om de verzameling en verspreiding van dergelijke gegevens te voorkomen. De EDPB benadrukt dat er geen sprake is van een algemene vrijstelling van de vereisten van artikel 9 AVG en dat elk geval afzonderlijk moet worden beoordeeld om te bepalen of de redenering van het Hof van toepassing is.

De richtsnoeren zullen tot en met 30 oktober 2026 aan een openbare raadpleging worden onderworpen, zodat belanghebbenden opmerkingen kunnen maken en feedback kunnen geven.

Blockchain-richtlijnen afgerond na openbare raadpleging

Na een openbare raadpleging heeft het EDPB de definitieve versie van zijn richtsnoeren inzake blockchaintechnologieën vastgesteld. De richtlijnen helpen organisaties die blockchain-technologieën gebruiken om te voldoen aan de GDPR. Het EDPB legt uit hoe blockchains werken en beoordeelt de verschillende mogelijke architecturen en de gevolgen ervan voor de verwerking van persoonsgegevens.

In overeenstemming met de doelstelling van de verklaring van Helsinki om de dialoog met belanghebbenden te versterken, heeft de raad ook een verslag uitgebracht over de resultaten van de specifieke openbare raadpleging, alsook een versie van de richtsnoeren over veranderingen in het spoor.

Noot voor de redactie: 
*Generative AI is een technologie die tot doel heeft nieuwe inhoud te creëren door patronen te leren van bestaande gegevens. Het maakt gebruik van gespecialiseerde machine learning-modellen die zijn ontworpen om een breed en algemeen scala aan outputs te produceren, zoals tekst, beeld of audio.

Dit is een automatische vertaling en kan fouten bevatten. Deze vertaling vormt geen vervanging voor de officiële Engelse versie.

Relevant topics
Anonimisering/pseudonimisering
Artificiële intelligentie
Technologie
Verantwoordingsplicht
Basisbeginselen

Latest news

  • EDPB News

EDPB and AMLA to develop Joint Guidelines on partnerships for information sharing

  • EDPB News

One-Stop-Shop case digest on right to object and right to erasure updated

  • EDPB News

Supporting GDPR consistency: EDPB launches dedicated form