Het verhaal van SocialConnect
Wanneer een platform besluit om 20 jaar aan gebruikersdata te gebruiken voor AI β en de AP belt
Fictief scenario β gebaseerd op realistische situaties
De Aanleiding
Hoe het begon
SocialConnect had een ambitieus plan: hun AI verbeteren door te trainen op alle gebruikersdata sinds de oprichting. Posts, profielen, connecties β alles zou bijdragen aan slimmere aanbevelingen. De standaardinstelling: opt-in voor iedereen, tenzij je expliciet bezwaar maakt.
Miljoenen EU-gebruikers. Decennia aan professionele data. Een toezichthouder die "grote zorgen" uitte. En een juridische vraag die de hele tech-industrie bezig hield: mag je oude data voor nieuwe AI-doelen gebruiken op basis van "gerechtvaardigd belang"?
"Jullie willen data uit 2010 gebruiken voor AI? Terwijl gebruikers destijds voor iets heel anders tekenden?" De toezichthouder was niet onder de indruk.
De Vragen
Wat moesten ze uitzoeken?
Is "gerechtvaardigd belang" voldoende rechtsgrond voor AI-training?
Het juridische team beriep zich op artikel 6(1)(f) GDPR β gerechtvaardigd belang. Het argument: AI-training is noodzakelijk voor de bedrijfsvoering en verbetert de gebruikerservaring.
π‘ Het inzicht
De toezichthouder kocht het niet. Gerechtvaardigd belang vereist een zorgvuldige belangenafweging: weegt het bedrijfsbelang zwaarder dan de privacy-impact? Bij miljoenen gebruikers en decennia aan data is die proportionaliteitstoets moeilijk te winnen.
π Waarom dit ertoe doet
Meta probeerde dezelfde aanpak voor Facebook en Instagram en stuitte op vergelijkbare bezwaren. De les: gerechtvaardigd belang is geen vrijbrief. Hoe groter de schaal en hoe gevoeliger de data, hoe sterker je onderbouwing moet zijn.
Hoe zit het met data die jaren geleden is verzameld?
Het team realiseerde zich dat gebruikers in 2010 tekenden voor "professioneel netwerken" β niet voor AI-training. Het doel waarvoor data was verzameld, was fundamenteel anders dan het nieuwe gebruik.
π‘ Het inzicht
Dit raakte het GDPR-principe van doelbinding. Data mag alleen worden gebruikt voor het doel waarvoor het is verzameld, tenzij het nieuwe doel "verenigbaar" is met het oorspronkelijke. AI-training op alle historische content? Moeilijk te verdedigen als "verenigbaar" met netwerken.
π Waarom dit ertoe doet
De AP formuleerde het scherp: gebruikers deelden destijds informatie "zonder te voorzien dat ze voor AI-training zouden worden ingezet". Retroactief consent claimen voor nieuwe doelen is juridisch wankel terrein.
Wat als je toestemming nodig hebt voor miljoenen mensen?
Als gerechtvaardigd belang niet standhoudt, is toestemming de logische alternatieve rechtsgrond. Maar hoe vraag je miljoenen mensen om expliciete opt-in voor AI-training?
π‘ Het inzicht
De praktische implicaties waren ontmoedigend. Opt-in conversion rates liggen typisch rond 10-30%. Dat zou betekenen dat 70-90% van de trainingsdata wegvalt. Voor het AI-team was dit een nachtmerrie β maar voor privacy-experts precies zoals het hoort.
π Waarom dit ertoe doet
Dit is de kern van de spanning tussen AI-innovatie en privacy: grote AI-modellen vereisen grote datasets, maar echte toestemming verkrijgen op schaal is moeilijk. Bedrijven die dit serieus nemen, investeren in opt-in journeys die de waarde-uitwisseling duidelijk maken.
Kunnen we nog iets terugdraaien als data eenmaal in het model zit?
Een gebruiker diende een verzoek in: "Verwijder mijn data uit jullie AI-model." Het technische team moest uitleggen waarom dat niet zo simpel was.
π‘ Het inzicht
AI-modellen zijn geen databases. Je kunt niet zomaar een specifiek datapunt "verwijderen" uit een getraind model. Machine unlearning bestaat, maar is experimenteel en resource-intensief. Deze onomkeerbaarheid maakt vooraf goed nadenken essentieel.
π Waarom dit ertoe doet
De AP noemde dit expliciet als zorgpunt: "Anders dan bij traditionele databases, is het praktisch onmogelijk om specifieke informatie uit getrainde modellen te verwijderen." Dit argument versterkt de case voor toestemming vΓ³Γ³raf in plaats van bezwaar achteraf.
De Reis
Stap voor stap naar compliance
De aankondiging
SocialConnect kondigde aan dat AI-training zou starten. Standaard: opt-in voor iedereen. Deadline: over 6 weken.
De waarschuwing
De nationale toezichthouder trok publiekelijk aan de bel. "Grote zorgen" over de aanpak. Gebruikers werden opgeroepen om in te stellen uit te schakelen.
Juridische heroverweging
Het juridische team moest de rechtsgrond opnieuw evalueren. Was gerechtvaardigd belang houdbaar? Welke alternatieven waren er?
Opt-in herontwerp
De UX-afdeling kreeg de opdracht om een expliciete opt-in flow te ontwerpen die de waarde-uitwisseling duidelijk maakte.
Data-scope beperking
Om de juridische risicos te beperken, besloot het team alleen data te gebruiken van nΓ‘ een nieuwe privacy-policy update, niet historische data.
Transparante communicatie
Een uitgebreide FAQ en in-app uitleg werden gepubliceerd: wat wordt er gebruikt, waarvoor, en hoe kun je controleren.
De Obstakels
Wat ging er mis?
β Uitdaging
Gerechtvaardigd belang bleek juridisch onhoudbaar voor deze schaal
β Oplossing
Overstap naar expliciete opt-in met duidelijke value proposition
β Uitdaging
Historische data kon niet zomaar worden gebruikt voor nieuwe doelen
β Oplossing
Scope beperkt tot data verzameld na nieuwe privacy-policy met AI-training clausule
β Uitdaging
Data kan niet worden verwijderd uit getrainde modellen
β Oplossing
Geen training starten vΓ³Γ³r toestemming, zodat verwijdering niet nodig is
We dachten dat we slim waren met opt-out. De toezichthouder liet zien dat slim niet hetzelfde is als compliant. Nu bouwen we vertrouwen op in plaats van data te pakken.
De Lessen
Wat kunnen we hiervan leren?
Gerechtvaardigd belang is geen vrijbrief
Bij grote schaal en gevoelige data is de proportionaliteitstoets streng. Toezichthouders kijken kritisch.
Doelbinding geldt ook voor AI
Data verzameld voor doel A mag niet zomaar voor doel B worden gebruikt. Zeker niet 15 jaar later.
Opt-out is niet opt-in
Stilzwijgende toestemming is geen echte toestemming. Zeker niet voor ingrijpende nieuwe toepassingen.
AI-training is onomkeerbaar
Je kunt data niet verwijderen uit een getraind model. Dus vraag toestemming vΓ³Γ³raf, niet achteraf.
Overweegt jouw organisatie AI-training op gebruikersdata?
Ontdek hoe je dit compliant kunt aanpakken onder GDPR en AI Act.
Ga verder met leren
Ontdek gerelateerde content