Het scrapen van data van Linkedinprofielen is geheel legaal, las ik bij TechRadar. De Court of Appeals for the Ninth Circuit (het hogerberoepshof dat onder meer over techstaat Californië gaat) heeft namelijk bevestigd dat dit geen computervredebreuk oplevert. Dit in hoger beroep (na cassatie bij de Supreme Court) van een zaak uit 2017 tussen Linkedin en startup hiQ. HiQ is erg blij dat archivisten en bibliotheken nu deze data kunnen opnemen in het algemeen belang. Ja, moest ik ook om lachen. Maar dat terzijde.
Zoals ik in 2017 schreef, HiQ (dat blijkt dus hiQ te moeten zijn) is als bedrijf gericht op analyseren van werknemers, en kan bijvoorbeeld bepaald gedrag van werknemers voorspellen, zoals wanneer iemand ontslag neemt. Hierbij is input vanaf LinkedIn erg belangrijk, zo belangrijk zelfs dat ze zeggen als bedrijf failliet te gaan als de toegang tot LinkedIn hen ontzegd zou worden.
Linkedin zag dat anders, zij had in haar gebruiksvoorwaarden scrapen gewoon verboden en schermt daarbij graag met mooie woorden over het vertrouwen van haar gebruikers dat geschonden wordt als gewetenloze recruiters of andere vage figuren er met data vandoor gaan. (Dit in tegenstelling tot de betrouwbare partners natuurlijk.) Maar omdat het hier ging om data die je zonder inloggen kon zien, moest LinkedIn het over de strafrechtelijke boeg gooien: de beruchte Computer Fraud and Abuse Act.
In 2017 was de rechter er snel klaar mee: de juridische argumenten van LinkedIn over computervredebreuk waren niet zeer overtuigend, de schade voor het sociale netwerk is beperkt en de impact van een verbod voor hiQ is buitengewoon groot. Dan is de uitkomst van die afweging natuurlijk evident: geen verbod. Sterker nog, Linkedin werd verboden om met technische trucs (IP-blokkades) het scrapen tegen te houden.
Na een lange juridische discussie die zelfs tot de Supreme Court kwam, heeft nu de 9th Circuit de definitieve uitspraak gedaan: het opvragen van zonder login beschikbare data telt niet als computervredebreuk. Maar dan met iets meer nuance. De kern is dat hiQ stelde dat haar contracten met data-afnemers in gevaar kwamen door de blokkade van LinkedIn, wat een onrechtmatige daad (tortious interference of contract) zou zijn.
LinkedIn meende dat de privacy van haar bezoekers telde als een rechtvaardiging om die daad te mogen plegen, maar kreeg daarover dus tot de Supreme Court ongelijk. En nu dus ook: niet alleen is dat privacybelang zeer gering omdat het gaat om de openbare (zonder login toegankelijke) informatie die men publiceert, maar ook heeft LinkedIn een vrij ongebruikelijk middel ingezet, namelijk een IP-blokkade. Oh ja, en het feit dat LinkedIn al een paar jaar wist van hiQ en de cease-and-desist pas stuurde na een persbericht dat hiQ met een funding round bezig was, hielp natuurlijk ook niet mee.
Hoewel het dus gaat om een vrij specifieke zaak, zijn er nu wel een paar uitgemaakte punten waardoor scrapen in de VS een verdedigbare praktijk wordt. Het moet dus gaan om openbare informatie, je moet een legitiem zakelijk belang hebben en je mag de bedrijfsvoering van je doelwit niet hinderen.
De privacy van betrokkenen zou uit kunnen maken, maar omdat het gaat om openbare informatie in principe niet. En dat laatste is natuurlijk waarom het bij ons anders uitpakt: de AVG geldt net zo goed bij openbare informatie. Wie dus in Europa LinkedIn-profielen scrapet en als business intelligence verkoopt, moet daarbij een verhaal hebben onder de AVG dat ik eerlijk gezegd niet zou kunnen bedenken.
Arnoud
“ Wie dus in Europa LinkedIn-profielen scrapet en als business intelligence verkoopt, moet daarbij een verhaal hebben onder de AVG dat ik eerlijk gezegd niet zou kunnen bedenken.”. Dus Clearview mag Nederlandse profielen ook niet scannen? De Franse privacy-toezichthouder heeft dit expliciet kenbaar gemaakt. De AP heeft zich hier helaas nog niet over uitgesproken., zodat de kans aanwezig is dat je in de database van Clearview staat.
Niet helemaal on-topic, maar dit deel snap ik niet. LinkedIn heeft toch niks te maken met de contracten tussen hiQ en haar afnemers?
Je mag niet een ander er van weerhouden zaken te doen met een derde partij, bijvoorbeeld:
Tortious Interference with Contract Tortious interference with a contract occurs when someone improperly induces a breach of contract between you and a third party.
For example, let’s say you have a contract to sell 100 widgets to Company A. But Company A has many lucrative contracts with Company B. Company B is considering branching out into widget manufacturing and wants to eliminate the competition.
So Company B threatens to stop doing business with Company A unless Company A breaches its contract with you. You may have a claim against Company B for tortious interference.
Toch interessant dat er inmiddels een Nederlands bedrijf is wat exact dat doet, en stelt dat ze voldoen aan de AVG: https://www.werf-en.nl/zo-laat-je-legaal-de-data-van-miljoenen-openbare-profielen-in-jouw-voordeel-werken/
Ze geven aan dat het “mag” omdat ze alle data anonimiseren. Komt die redenatie door de giecheltoets, of gaan ze de fout in omdat ze geen toestemming hebben gevraagd?
Als je anonimiseert, mag je met de data doen wat je wil van de AVG. Het probleem is alleen dat vrijwel niemand weet hoe je moet anonimiseren. Ik ga even kijken of hier een blog van te maken is.
Dankjewel! Dit is de bijbehorende LinkedIn post, waaronder inmiddels een discussie loopt: https://www.linkedin.com/posts/laurens_zo-laat-je-de-data-van-miljoenen-openbare-activity-7178421784331902976-CC-m
Een bedrijf wiens businessmodel is gebaseerd op het leegharken van een social-media platform en dat die gegevens verkoopt aan bedrijven zodat die dan meer te weten komen over hun eigen medewerkers.. Het is heel bijzonder allemaal. Het is niet vaak dat ik blij ben dat er op Europees niveau iets geregeld is maar dit is wel een van die keren, alhoewel als je zelf besluit om dergelijke gegevens over jezelf publiek te maken via een vrij toegankelijk social-media platform dan vind ik ook wel dat je zelf er rekening mee moet houden dat je werkgever daar dan naar gaat kijken om te zien om je misschien van plan bent om binnenkort te vertrekken of zo.