Stel je voor: je plaatst een vakantiefoto op Instagram, schrijft een grappig bijschrift, en zonder dat je het doorhebt, wordt diezelfde content later gebruikt om een AI-model te trainen. Klinkt dat gek? Toch is dat precies wat Meta — het moederbedrijf van Facebook en Instagram — van plan is te doen.[1] Vanaf 27 mei gaat Meta persoonsgegevens van Europese volwassen gebruikers gebruiken om hun AI-modellen te trainen. Het gaat om alles wat je openbaar hebt gedeeld: van foto’s tot bijschriften, reacties en mogelijk ook geluidsfragmenten. Deze gegevens worden verzameld, verwerkt en geanalyseerd, waarna de AI 'leert' van jouw gedrag, taalgebruik en voorkeuren. De reden? Meta wil AI bouwen die slimmer, persoonlijker en vooral relevanter is voor Europese gebruikers.
Maar deze stap van Meta is niet zonder controverse. Privacyorganisatie NOYB, onder leiding van Max Schrems, heeft Meta al gewaarschuwd met een officiële 'cease and desist'-brief. Andere organisaties roepen gebruikers op om actief bezwaar te maken tegen het gebruik van hun gegevens. Dat roept een logische vraag op: mag Meta dit zomaar doen? En hoe zit dat precies met de regels over persoonsgegevens en AI?
Op welke juridische grondslag beroept Meta zich?
Om die vraag te beantwoorden, moeten we kijken naar de Algemene Verordening Gegevensbescherming (AVG). Deze Europese privacywet stelt dat persoonsgegevens alleen mogen worden verwerkt als daar een geldige grondslag voor is. Toestemming is daarbij de bekendste grondslag — je moet expliciet akkoord gaan met het gebruik van je gegevens. Maar in het geval van AI-training is dat lastig. Hoe geef je toestemming als je niet weet welke data wordt gebruikt of voor welk doel precies? Daarom beroepen veel bedrijven, waaronder Meta, zich op een andere grondslag: het gerechtvaardigd belang.
Volgens de AVG is deze grondslag toegestaan, maar alleen als aan drie voorwaarden wordt voldaan: er moet een legitiem belang zijn, de verwerking van persoonsgegevens moet noodzakelijk zijn voor dat belang, en de rechten van gebruikers mogen niet zwaarder wegen dan het belang van de organisatie. Dat klinkt abstract, maar gelukkig heeft de European Data Protection Board (EDPB) onlangs een richtsnoer gepubliceerd waarin zij dit concreter maakt.[2] Zo noemt ze als legitiem belang bijvoorbeeld het bouwen van chatbots, het detecteren van fraude, of het verbeteren van veiligheidssystemen. Meta geeft zelf aan dat ze AI wil trainen met Europese data zodat de systemen beter omgaan met lokale talen, cultuur, humor en gewoontes — iets dat in hun ogen de gebruikservaring verbetert. Denk aan een AI die Vlaamse uitdrukkingen begrijpt, of sarcasme in het Frans herkent.
Bovendien is dat niet het hele verhaal. Want zelfs als het belang van Meta legitiem is, moet worden onderzocht of het gebruik van persoonsgegevens echt nodig is. Kan hetzelfde doel niet worden bereikt met geanonimiseerde of synthetische data? En nog belangrijker: worden de rechten van gebruikers voldoende beschermd? De EDPB benadrukt dat bedrijven zoals Meta maatregelen moeten nemen om risico’s voor gebruikers te beperken. Dat kan variëren van technische beveiliging tot duidelijke communicatie en de mogelijkheid tot bezwaar. Wat daarbij niet mag gebeuren, is een vage of generieke rechtvaardiging. Elke verwerking moet afzonderlijk worden beoordeeld en onderbouwd.
Veel grote bedrijven gaan ervan uit dat wat gebruikers op het internet zetten — een tweet, een blogpost, een openbaar profiel — vrij beschikbaar is voor iedereen om te gebruiken. Maar in de context van AI-training ligt dat juridisch veel complexer. In een recent onderzoek wordt bekeken of bedrijven als OpenAI persoonsgegevens die online te vinden zijn, mogen gebruiken voor het trainen van grote taalmodellen zoals ChatGPT.[3] De conclusie: het feit dat gegevens openbaar toegankelijk zijn, betekent nog niet dat ze ook zonder toestemming gebruikt mogen worden. De vraag die hier namelijk centraal staat is of mensen echt kunnen verwachten dat hun oude forumberichten of profielfoto’s gebruikt zouden worden om een chatbot slimmer te maken? In theorie biedt de AVG een uitzondering voor gegevens die iemand “kennelijk openbaar heeft gemaakt”. Maar dat geldt alleen als die persoon die publicatie bewust en met kennis van zaken heeft gedaan. Bij een LinkedIn-post is dit misschien het geval, maar geldt dat ook voor een foto die je 10 jaar geleden op Instagram hebt geplaatst?
Zijn de rechten van betrokkenen gewaarborgd?
Naast de vraag of de verwerking rechtmatig is, blijft er nog een cruciaal aspect over: de rechten van gebruikers. Want zelfs als Meta een geldige grondslag heeft, mogen gebruikers niet zomaar buitenspel worden gezet. Zo heb je recht op informatie en transparantie. Je moet weten welke gegevens worden gebruikt, waarom, en wat ermee gebeurt. In de praktijk betekent dat dat Meta niet alleen in hun algemene voorwaarden moet verwijzen naar AI-training, maar actief moet communiceren via bijvoorbeeld hun privacyverklaring.
Daarnaast heb je als gebruiker het recht op inzage. Je mag vragen of jouw gegevens worden gebruikt, en zo ja, welke. In de context van AI is dat ingewikkeld: AI-modellen zijn vaak black boxes, en de data is niet altijd individueel herleidbaar. Toch blijft het uitgangspunt van de AVG: als jouw gegevens erin zitten, heb je recht op toegang.
Het recht op bezwaar is ook van toepassing. Als je het niet eens bent met het gebruik van jouw gegevens op basis van gerechtvaardigd belang, kun je bezwaar maken. Meta moet dan aantonen dat hun belang zwaarder weegt dan jouw rechten. Indien dit niet kan worden aangetoond, dient de verwerking te worden gestaakt. In de praktijk zien we dit recht vaak ingezet wanneer mensen ontdekken dat hun openbare sociale mediaberichten via scraping zijn gebruikt voor AI-training — zonder hun medeweten. Bij AI-training is dat lastig. Als een model eenmaal is getraind, is het technisch niet altijd mogelijk om individuele data eruit te halen. Toch verplicht de wet organisaties om daar een oplossing voor te bieden — of om aan te tonen waarom dat niet mogelijk is. Sommige bedrijven gaan verder dan wettelijk vereist en bieden gebruikers uit ethisch oogpunt de mogelijkheid om hun gegevens alsnog te laten verwijderen uit een AI-systeem.
Kortom: Meta mag niet zomaar je gegevens gebruiken voor AI-training, ook niet als je die ooit zelf openbaar hebt gemaakt. Er gelden strikte regels, die niet alleen een wettelijke grondslag vereisen, maar ook een eerlijke belangenafweging en naleving van jouw rechten als gebruiker. Of Meta aan al die eisen voldoet, zal de komende tijd ongetwijfeld onderwerp van debat en mogelijk zelfs rechtszaken worden. Dit zou nog wel eens voor problemen kunnen zorgen.
Het is duidelijk dat Meta een legitiem belang heeft bij het ontwikkelen van hun AI. De vraag is echter of het verwerken van alle persoonsgegevens van gebruikers hiervoor nodig is. Indien hetzelfde doel met geanonimiseerde of synthetische data te behalen valt, zou dit een indicatie zijn dat de verwerking strandt op noodzakelijkheid. Bovendien valt er te twijfelen over of de belangen van Meta opwegen tegen de privacy van gebruikers. Veel mensen verwachten niet dat oude, ogenschijnlijk onschuldige posts (zoals een vakantiefoto) worden gebruikt om een AI te trainen. De AVG stelt dat dit soort verwerking voorzienbaar moet zijn, wat hier niet evident is. Daarnaast zal Meta nog flink aan de slag moeten om de rechten van betrokkenen effectief en toegankelijk te maken.
Maakt jouw organisatie gebruik van AI? Zorg dat je juridisch op het juiste spoor zit. Wij helpen je graag! Neem vrijblijvend contact op om de mogelijkheden te ontdekken.
Meer informatie
[1] https://about.fb.com/news/2025/04/making-ai-work-harder-for-europeans/
[2]Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, EDPB.
[3] Kuru (2024), Lawfulness of the mass processing of publicly accessible online data to train large language models, International data privacy law, Vol 00, No, 0.
