LISA Groningen

Vanaf 27 mei 2025 zal Meta Platforms Inc. beginnen met het trainen van zijn generatieve AI-modellen op basis van openbare gegevens van volwassen gebruikers op Facebook en Instagram. Deze stap houdt in dat content die eerder door gebruikers is geplaatst, zoals openbare posts, reacties en foto’s,  zonder aanvullende toestemming kan worden ingezet voor kunstmatige intelligentie, tenzij de betrokkene hier vooraf bezwaar tegen maakt.[1]

Hoewel Meta stelt te handelen binnen het kader van de Algemene Verordening Gegevensbescherming (AVG), leidt deze praktijk tot bezorgdheid onder privacytoezichthouders. De Autoriteit Persoonsgegevens waarschuwt dat gebruikers in de praktijk het risico lopen controle te verliezen over hoe hun persoonsgegevens worden hergebruikt, zeker nu het gaat om toepassingen waarbij data diep in de structuur van AI-modellen kan worden verwerkt.[2]

Meta’s nieuwste zet om gebruikersdata van Instagram aan te wenden voor de training van generatieve AI roept fundamentele vragen op over de juridische grenzen van gegevensverwerking binnen het Europese rechtskader. In een tijd waarin kunstmatige intelligentie snel evolueert, wordt het juridisch kader niet alleen getest, maar in zekere zin ook uitgerekt. Hoe ver kan een techbedrijf als Meta gaan in het verwerken van persoonsgegevens uit sociale platforms ten behoeve van AI training?

Juni 2024: Meta’s eerste poging Meta AI te trainen met persoonsgegevens op Instagram

In juni 2024 kondigde Meta Platforms Inc. aan voornemens te zijn om generatieve AI-modellen te trainen met behulp van gebruikersdata die afkomstig zijn van Europese accounts op Facebook en Instagram. Deze gegevens zouden onder meer bestaan uit openbaar gedeelde content, zoals afbeeldingen, onderschriften en reacties. Meta stelde zich daarbij op het standpunt dat deze verwerkingsactiviteit gebaseerd kon worden op het gerechtvaardigd belang van de verwerkingsverantwoordelijke  zoals bedoeld in artikel 6 lid 1 sub f van de Algemene Verordening Gegevensbescherming.[3]

Dit voornemen leidde tot directe en brede bezorgdheid binnen het Europees toezichthoudend landschap. De Ierse Data Protection Commission (DPC), die optreedt als leidende toezichthoudende autoriteit voor Meta binnen de Europese Economische Ruimte (EER) op grond van het one-stop-shop-mechanisme, ontving in korte tijd meerdere klachten van nationale toezichthouders, waaronder de Autoriteit Persoonsgegevens (AP) in Nederland. De kern van het bezwaar betrof het ontbreken van een passende rechtsgrondslag voor het verwerken van persoonsgegevens ten behoeve van AI-training, alsmede het gebrek aan voldoende transparantie jegens betrokkenen en het ontbreken van een effectieve opt-out-mogelijkheid. Onder druk van gecoördineerde handhavingsactie binnen de European Data Protection Board (EDPB) zag Meta zich genoodzaakt het trainingsproces, voor zover dit persoonsgegevens van Europese gebruikers zou betreffen, voorlopig op te schorten.[4]

Generatieve AI in context: definitie en werking

Instagram, het visuele sociale netwerk dat eigendom is van Meta Platforms Inc., maakt op steeds grotere schaal gebruik van kunstmatige intelligentie om het platform te personaliseren, beheren en optimaliseren. De technologie achter deze processen wordt ontwikkeld door Meta’s AI-afdeling, die verantwoordelijk is voor geavanceerde algoritmes die automatisch bepalen welke content aan gebruikers wordt getoond, welke advertenties worden aangeboden en welke berichten mogelijk worden gemarkeerd of verwijderd. De werking van deze systemen berust op grootschalige data-analyse en zelflerende software, waarmee onder meer de volgorde van posts in de tijdlijn, de selectie van Reels en de aanbevelingen in de Explore-pagina worden vormgegeven. Daarnaast zet Meta AI technologieën in voor automatische vertaling, beeldherkenning, en het filteren van mogelijk schadelijke of ongepaste inhoud.[5]

Nieuw zijn de functies waarin generatieve AI wordt gebruikt, bijvoorbeeld voor het creëren van aangepaste filters of afbeeldingen binnen de app. Generatieve kunstmatige intelligentie verwijst naar een categorie van AI-systemen die in staat zijn om zelfstandig nieuwe content te creëren op basis van patronen die zijn afgeleid uit bestaande datasets. Dit kan variëren van tekst en beeld tot muziek, video en software code. In tegenstelling tot traditionele AI die vooral gericht is op classificatie of herkenning, richt generatieve AI zich op het produceren van originele output die qua vorm of stijl sterk overeenkomt met menselijke creaties. De onderliggende technologie wordt doorgaans gevormd door zogeheten foundation models, waaronder grootschalige taalmodellen (bijvoorbeeld GPT) en beeldgeneratiemodellen (DALL·E). Deze modellen worden getraind op omvangrijke verzamelingen gegevens afkomstig van publiek toegankelijke of online bronnen en genereren vervolgens inhoud op basis van instructies van gebruikers (prompts).[6]

Mei 2025: AI training, nu en in de toekomst

Sinds de opschorting van het AI-trainingsprogramma in de zomer van 2024 is de juridische en beleidsmatige discussie binnen Europa over het gebruik van persoonsgegevens voor generatieve AI alleen maar verder geïntensiveerd. In de maanden die volgden, voerde Meta bilaterale gesprekken met diverse Europese toezichthouders, waaronder de DPC en de Autoriteit Persoonsgegevens (AP), om haar aanpak te herzien en in overeenstemming te brengen met de Europese privacyregels.[7]

In het voorjaar van 2025 heeft Meta een aangepast voorstel gepubliceerd, waarin onder meer expliciete toestemming (art. 6 lid 1 sub a AVG) wordt geïntroduceerd als alternatieve rechtsgrondslag voor de verwerking van gebruikersdata ten behoeve van AI-training. Daarbij is tevens een opt-in-mechanisme toegevoegd, waarmee gebruikers vooraf toestemming moeten geven voor het gebruik van hun content. Meta heeft aangekondigd dat deze toestemming niet als voorwaarde zal gelden voor het gebruik van de dienst zelf, in lijn met de vereisten van artikel 7 AVG.[8]

Toch blijft kritiek bestaan. Diverse privacyorganisaties, waaronder NOYB en Bits of Freedom, stellen dat ook met deze wijzigingen de machtspositie van Meta en de complexiteit van toestemmingsverkrijging leiden tot zogenoemde “gedwongen toestemming”. Ook wijzen zij op het risico van onbedoelde verwerking van bijzondere persoonsgegevens (art. 9 AVG) via bijvoorbeeld foto’s of reacties waarin gevoelige informatie is vervat. Daarnaast is op niveau van de European Data Protection Board (EDPB) een werkdocument in voorbereiding waarin algemene richtlijnen worden ontwikkeld voor het gebruik van persoonsgegevens in de context van foundation models en generatieve AI. Dit document, dat naar verwachting in de tweede helft van 2025 zal worden gepubliceerd, moet zorgen voor meer harmonisatie in de beoordeling van AI-training onder de AVG.[9] Parallel daaraan wordt op EU-niveau gewerkt aan de afronding van de AI-verordening (AI Act)[10], waarin voor foundation models strengere transparantie- en risicobeperkingsvereisten worden opgenomen. Deze verordening zal waarschijnlijk aanvullende compliance-verplichtingen opleggen aan aanbieders zoals Meta, ongeacht de gekozen grondslag onder de AVG.[11]

Rechtspraak

De kern van deze casus omtrent Meta’s AI training, draait om de rechtmatigheid van het verwerken van persoonsgegevens inclusief biometrische gegevens uit foto’s en video's ten behoeve van AI-training, zonder expliciete toestemming van gebruikers. Artikel 9 AVG verbiedt in principe de verwerking van bijzondere categorieën van persoonsgegevens, tenzij voldaan wordt aan een van de uitzonderingsgronden. In het geval van AI-training zijn deze uitzonderingen uiterst beperkt toepasbaar.

Bovendien rijst de vraag of Meta zich terecht beroept op de verwerkingsgrond 'gerechtvaardigd belang' (art. 6 lid 1 sub f AVG) en of die belangen daadwerkelijk zwaarder wegen dan de fundamentele rechten en vrijheden van betrokkene, mede gelet op de impact en schaal van de verwerking. Daarbij komt dat het concept 'doelbinding' (art. 5 lid 1 sub b AVG) een onderbelichte maar cruciale rol speelt: is het trainen van een generatief AI-model een verenigbaar doel met het oorspronkelijke doel van het verzamelen van de gegevens op Instagram, namelijk sociale interactie? Het Europees Hof van Justitie benadrukte in de Breyer-zaak (C‑582/14)[12] al het belang van een strikte uitleg van verwerkingsdoeleinden, wat betekent dat Meta’s brede interpretatie juridisch risicovol is. Ook de informatieverplichting conform artikel 13 AVG staat onder druk. Gebruikers moeten op het moment van gegevensverzameling transparant geïnformeerd worden over het doel en de aard van de verwerking. Een vage verwijzing naar ‘algoritmische verbetering’ in een bijlage van het privacybeleid volstaat niet. De EDPB heeft in haar richtlijnen (Guidelines 05/2020)[13] expliciet gesteld dat AI-training als een nieuw doeleinde kwalificeert, waarvoor hernieuwde toestemming nodig is als er geen andere valide grondslag bestaat.

Conclusie: AI-training door Meta als juridische stresstest voor de AVG

De recente stap van Meta om openbare gebruikersgegevens van Europese Instagram- en Facebook-accounts te gebruiken voor de training van generatieve AI-modellen, vormt een fundamentele stresstest voor de grenzen van de AVG. Hoewel Meta in haar aangepaste voorstel expliciete toestemming introduceert als rechtsgrondslag, blijven structurele zorgen bestaan over transparantie, doelbinding en de reikwijdte van ‘gerechtvaardigd belang’. Het risico op impliciete dwang bij toestemmingsverkrijging en onbedoelde verwerking van bijzondere persoonsgegevens onderstreept dat toestemming in de praktijk niet altijd vrijelijk gegeven wordt, zoals artikel 7 AVG vereist.

Bovendien wringt het gebruik van historische gebruikerscontent voor een geheel nieuw doel, AI-training, met het AVG-beginsel van doelbinding, zoals verankerd in artikel 5 lid 1 sub b AVG. De jurisprudentie van het Hof van Justitie, waaronder de Breyer-zaak, bevestigt dat hergebruik van persoonsgegevens kritisch moet worden beoordeeld en slechts beperkt toelaatbaar is zonder nieuwe geïnformeerde toestemming.

In afwachting van het werkdocument van de European Data Protection Board (EDPB) en de definitieve AI-verordening (AI Act), blijft het juridische speelveld voorlopig diffuus. Wel staat vast dat AI-training met persoonsgegevens een afzonderlijk verwerkingsdoel vormt, waarvoor bedrijven als Meta niet alleen heldere, maar ook juridisch robuuste grondslagen moeten hanteren. Totdat hierover meer rechtszekerheid bestaat, blijft AI-training door techgiganten op gespannen voet staan met het Europese gegevensbeschermingsrecht. Kortom: Meta trapt met haar AI-training niet direct op de AVG, maar de marges zijn flinterdun en het risico op juridische missers groot.

Namens de Carrièrecommissie, 

Rosalinda de Graaf

[1] ‘Wil je niet dat Meta jouw gegevens gebruikt voor AI? Zo maak je bezwaar’, radar.avrotros.nl (laatst geraadpleegd op 25 april 2025).

[2] ‘AP: Laatste kans om bezwaar te maken bij Meta’, autoriteitpersoonsgegevens.nl (laatst geraadpleegd op 23 mei 2025).

[3] ‘Ik ben een gebruiker in de EU of het VK. Wat is een bezwaar en hoe kan ik een dergelijk bezwaar indienen voor Meta Horizon?’, meta.com (laatst geraadpleegd op 3 april 2025).

[4] ‘DPC statement on Meta on AI’, dataprotection.ie (laatst geraadpleegd op 21 mei 2025).

[5] ‘How AI Influences what you see on Facebook and Instagram’, about.fb.com (laatst geraadpleegd op 29 juni 2023).

[6] ‘AI is confusing – here’s your cheat sheet’, theverge.com (laatst geraadpleegd op 22 juli 2024).

[7] ‘Irish DPC provides update on Meta's AI training plans & data protection measures’, grcreport.com (laatst geraadpleegd op 21 mei 2025).

[8] ‘Training of Meta’s AI systems and the use of the European users’ Data’, goodwinlaw.com (laatst geraadpleegd op 23 mei 2025).

[9] ‘European Data Protection Board: “It depends”. How AI can be legitimate under the GDPR’, eur.nl (laatst geraadpleegd op 25 februari 2025).

[10] ‘AI-verordening’, autoriteitpersoonsgegevens.nl (laatst geraadpleegd op 5 juli 2025).

[11] ‘AI-verordening treedt in werking’, commission.europa.eu (laatst geraadpleegd op 1 augustus 2024).

[12] EHRM 19 oktober 2016, zaaknr. 582/14 (Patrick Breyer t. Bundesrepublik Deutschland).

[13] EDPB, ‘Guidelines 05/2020 on consent under Regulation 2016/679’, Publicatiebureau van de Europese Unie: 2020.