X onder vuur: mogelijk onrechtmatig gebruik van persoonsgegevens voor AI-training

Wat wilde X: AI-training zonder toestemming

Social media-platform X gaf aan gebruikersdata, waaronder privéberichten, te willen gebruiken om AI-modellen te trainen, zoals de AI-chatbot Grok. Dit is volgens NOYB in strijd met de AVG, omdat gebruikers geen specifieke en geïnformeerde toestemming hebben gegeven voor het gebruik van hun persoonlijke gegevens voor dit doeleinde. Het gaat hierbij niet alleen om openbare data, maar ook om gevoelige informatie die via privékanalen wordt gedeeld. Deze informatie kan dan worden gebruikt op manieren die gebruikers nooit hebben goedgekeurd. Dit verhoogt het risico op bijvoorbeeld identiteitsdiefstal, reputatieschade en andere privacygerelateerde problemen. X begon al op 7 mei met het verzamelen van gegevens van EU-gebruikers, maar bood pas vanaf 16 juli een afmeldoptie aan via de privacy-instellingen, die aanvankelijk nog niet voor alle gebruikers beschikbaar was.

NOYB doet verzoek tot spoedprocedure in 9 landen

Omdat Twitter al begonnen is met het verwerken van persoonsgegevens voor zijn AI-technologie en er waarschijnlijk geen mogelijkheid is om reeds verzamelde data te verwijderen, heeft NOYB een zogenaamde spoedprocedure verzocht onder Artikel 66 van de AVG. Dit artikel geeft nationale autoriteiten de bevoegdheid om in dergelijke situaties voorlopige maatregelen te treffen. De klachten zijn ingediend bij de gegevensbeschermingsautoriteiten in negen verschillende EU-landen, waaronder Duitsland, Frankrijk, Italië en Spanje. Volgens NOYB schendt X meerdere principes van de AVG, middels onder meer het gebrek aan transparantie en informatievoorziening aan gebruikers en het ontbreken van een rechtsgrond voor de verwerking van persoonlijke gegevens voor AI-training. Daarnaast stelt NOYB dat de door X voorgestelde praktijken in strijd zijn met het dataminimalisatie-vereiste, waarmee wordt bedoeld dat er alleen zoveel data mag worden verzameld als strikt noodzakelijk is voor het beoogde doel.

De klachten kunnen consequenties hebben voor X. Als de autoriteiten NOYB in het gelijk stellen, kan dit leiden tot boetes. Daarnaast kan X worden gedwongen om haar dataverzamelingspraktijken aan te passen of zelfs stop te zetten.

Wat betekent dit voor de marketingsector

Deze zaak benadrukt de bredere discussie over het gebruik van persoonlijke data voor het trainen van AI, iets wat ook al te zien was bij Meta toen het bedrijf onlangs de plannen heeft gepauzeerd om AI-modellen te trainen met data van Europese gebruikers. Het gebruik van persoonsgegevens voor AI-training zonder expliciete toestemming kan ingrijpende gevolgen hebben voor hoe bedrijven met data omgaan. NOYB’s acties dienen als waarschuwing voor andere technologiebedrijven: respect voor privacywetgeving is essentieel, vooral bij de ontwikkeling van nieuwe technologieën. De klachten van NOYB laten de noodzaak van toezicht en handhaving zien om ervoor te zorgen dat de rechten van gebruikers worden gerespecteerd. Autoriteiten moeten nu bepalen of X in strijd met de GDPR handelt en welke maatregelen nodig zijn. Als deze klachten resulteren in hoge boetes of strenge regelgeving, kan dit een voorbeeld zijn voor vergelijkbare situaties in Europa. Bedrijven kunnen zo worden gestimuleerd om de wijze waarop hun AI-modellen worden getraind, te herzien.

Allisha Hosli

Junior Legal Counsel