07/10/2026 | Press release | Archived content
De European Data Protection Board (EDPB) heeft 3 guidelines gepubliceerd. Het gaat om guidelines voor het scrapen (automatisch verzamelen) van data voor het trainen van generatieve artificiële intelligentie (AI), voor het anonimiseren van data en voor het gebruik van blockchaintechnologie.
Dankzij deze nieuwe guidelines weten organisaties aan welke eisen zij moeten voldoen bij scrapen, anonimiseren en werken met blockchains.
Veel AI-modellen worden getraind met data die automatisch en op grote schaal van websites worden gehaald. Dit heet '(web) scraping'. Ook persoonsgegevens komen zo terecht in de databestanden.
De privacywet (AVG) stelt strenge eisen aan het gebruik van die data. In deze guidelines staat:
De EDPB houdt een publieke consultatie voor de guidelines scraping. Heeft u opmerkingen of suggesties bij deze guidelines? Dan kunt u die tot en met 30 oktober doorgeven aan de EDPB.
Lees: Guidelines on web scraping in the context of generative AI (pdf)
Deze guidelines beschrijven hoe organisaties ervoor kunnen zorgen dat ze persoonsgegevens goed anonimiseren. Dat houdt in dat de gegevens niet herleidbaar zijn naar een natuurlijke persoon. Organisaties moeten kunnen bewijzen hoe zij de data hebben geanonimiseerd.
Om te bepalen of data echt anoniem zijn:
De EDPB houdt een publieke consultatie voor de guidelines anonimiseren. Heeft u opmerkingen of suggesties bij deze guidelines? Dan kunt u die tot en met 30 oktober doorgeven aan de EDPB.
Lees: Guidelines on anonymisation (pdf)
In deze guidelines staat hoe blockchains werken en wat de gevolgen zijn als persoonsgegevens in een blockchain zitten. De guidelines leggen de nadruk op privacy by design
Een zorgvuldige omgang met persoonsgegevens is organisatorisch en technisch te stimuleren met privacy by design en default. Privacy by design houdt in: er al bij het ontwerpen van producten en diensten voor zorgen dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat de standaardinstellingen van een product of dienst (bijvoorbeeld een mobiele telefoon) privacyvriendelijk zijn.
en het vooraf uitvoeren van een DPIAEen data protection impact assessment (DPIA) of gegevensbeschermingseffectbeoordeling (GEB) is een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico's te verkleinen.
.Ook helpen de guidelines organisaties bij dataminimalisatie
Als organisaties persoonsgegevens verwerken, moeten ze uitgaan van het principe 'zo min mogelijk'. Dat houdt in: niet meer gegevens verwerken dan noodzakelijk. Het is een van de de basisprincipes uit de AVG.
en het beschermen van de privacyrechtenMensen hebben een aantal rechten als organisaties hun persoonsgegevens verwerken. Dit noemen we privacyrechten. Bijvoorbeeld het recht om gegevens in te zien, te laten verbeteren of verwijderen.
van mensen binnen een blockchain.De guidelines zijn eerder in consultatie geweest. Dit is de versie waarin de EDPB de opmerkingen en suggesties uit de consultatie heeft verwerkt.
Lees: Guidelines on the processing of personal data through blockchain technologies (pdf)