DPA - Dutch Data Protection Authority

07/10/2026 | Press release | Archived content

Toezichthouders: versnel de overgang naar meer digitale autonomie

EDPB komt met 3 nieuwe guidelines over scraping, anonimiseren en blockchain

De European Data Protection Board (EDPB) heeft 3 guidelines gepubliceerd. Het gaat om guidelines voor het scrapen (automatisch verzamelen) van data voor het trainen van generatieve artificiële intelligentie (AI), voor het anonimiseren van data en voor het gebruik van blockchaintechnologie.

Dankzij deze nieuwe guidelines weten organisaties aan welke eisen zij moeten voldoen bij scrapen, anonimiseren en werken met blockchains.

Guidelines scrapen van data

Veel AI-modellen worden getraind met data die automatisch en op grote schaal van websites worden gehaald. Dit heet '(web) scraping'. Ook persoonsgegevens komen zo terecht in de databestanden.

De privacywet (AVG) stelt strenge eisen aan het gebruik van die data. In deze guidelines staat:

  • uitleg over hoe scraping-processen werken en welke beginselen van de AVG daarbij een belangrijke rol spelen;
  • op basis van welke grondslag organisaties mogelijk kunnen scrapen;
  • welke verplichtingen organisaties hebben, in het bijzonder wanneer het gaat om bijzondere persoonsgegevens.

De EDPB houdt een publieke consultatie voor de guidelines scraping. Heeft u opmerkingen of suggesties bij deze guidelines? Dan kunt u die tot en met 30 oktober doorgeven aan de EDPB.

Lees: Guidelines on web scraping in the context of generative AI (pdf)

Guidelines anonimiseren van data

Deze guidelines beschrijven hoe organisaties ervoor kunnen zorgen dat ze persoonsgegevens goed anonimiseren. Dat houdt in dat de gegevens niet herleidbaar zijn naar een natuurlijke persoon. Organisaties moeten kunnen bewijzen hoe zij de data hebben geanonimiseerd.

Om te bepalen of data echt anoniem zijn:

  • mogen de data geen unieke combinatie van eigenschappen bevatten waardoor identificatie toch mogelijk is;
  • mogen de data niet verbonden zijn met andere databestanden;
  • mag het niet mogelijk zijn om door slim te redeneren of te rekenen met de data alsnog persoonlijke informatie te achterhalen.

De EDPB houdt een publieke consultatie voor de guidelines anonimiseren. Heeft u opmerkingen of suggesties bij deze guidelines? Dan kunt u die tot en met 30 oktober doorgeven aan de EDPB.

Lees: Guidelines on anonymisation (pdf)

Guidelines blockchains

In deze guidelines staat hoe blockchains werken en wat de gevolgen zijn als persoonsgegevens in een blockchain zitten. De guidelines leggen de nadruk op privacy by design

Een zorgvuldige omgang met persoonsgegevens is organisatorisch en technisch te stimuleren met privacy by design en default. Privacy by design houdt in: er al bij het ontwerpen van producten en diensten voor zorgen dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat de standaardinstellingen van een product of dienst (bijvoorbeeld een mobiele telefoon) privacyvriendelijk zijn.

en het vooraf uitvoeren van een DPIA

Een data protection impact assessment (DPIA) of gegevensbeschermingseffectbeoordeling (GEB) is een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico's te verkleinen.

.

Ook helpen de guidelines organisaties bij dataminimalisatie

Als organisaties persoonsgegevens verwerken, moeten ze uitgaan van het principe 'zo min mogelijk'. Dat houdt in: niet meer gegevens verwerken dan noodzakelijk. Het is een van de de basisprincipes uit de AVG.

en het beschermen van de privacyrechten

Mensen hebben een aantal rechten als organisaties hun persoonsgegevens verwerken. Dit noemen we privacyrechten. Bijvoorbeeld het recht om gegevens in te zien, te laten verbeteren of verwijderen.

van mensen binnen een blockchain.

De guidelines zijn eerder in consultatie geweest. Dit is de versie waarin de EDPB de opmerkingen en suggesties uit de consultatie heeft verwerkt.

Lees: Guidelines on the processing of personal data through blockchain technologies (pdf)

DPA - Dutch Data Protection Authority published this content on July 10, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on July 15, 2026 at 14:03 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]