Blog
Meta’s AI-app leidt tot onbedoelde publicatie van privégesprekken
Redactie
De nieuwe standalone AI-app van Meta heeft veel stof doen opwaaien. Gebruikers van de app deelden onbedoeld persoonlijke gesprekken met de chatbot op een openbare feed. De situatie heeft vragen opgeroepen over Meta’s interface en de bescherming van persoonsgegevens, met name onder Europese wetgeving.
Wat is er gebeurd?
In april 2025 bracht Meta een zelfstandige AI-app uit waarin gebruikers met de Meta AI-chatbot kunnen communiceren. In tegenstelling tot bijvoorbeeld ChatGPT, bevat de app een publieke “Discover”-feed, waarop gebruikers gesprekken, afbeeldingen en audioberichten kunnen delen. Hoewel berichten in beginsel privé blijven, is er bovenin elk chatvenster een prominente ‘Share’-knop opgenomen. Wanneer gebruikers daarop klikken, verschijnt een venster waarin een preview van het te publiceren bericht wordt getoond, met daaronder de optie ‘Post to feed’.
Uit tal van mediaberichten blijkt dat veel gebruikers niet doorhadden dat zij via deze handeling hun privégesprekken online deelden. In de publieke feed verschenen duizenden berichten met gevoelige informatie: verzoeken om hulp bij belastingontwijking, juridische vragen, medische en relationele kwesties, en zelfs huisadressen en rechtbankdocumenten. De gesprekken kunnen direct worden gekoppeld aan de social media-accounts van de betreffende gebruikers (mits die waren ingelogd), doordat profielnamen en foto's gewoon zichtbaar zijn.
De privacy-implicaties
De kwestie werpt serieuze vragen op over de privacybescherming van gebruikers. Hoewel Meta stelt dat delen optioneel is, lijkt er sprake van een fundamenteel misverstand bij een aanzienlijke groep gebruikers. Daarmee is het maar de vraag of deze gebruikers daadwerkelijk geldige toestemming hebben gegeven voor de openbaarmaking van hun gesprekken en (persoons)gegevens.
Volgens de Algemene Verordening Gegevensbescherming (AVG) moet toestemming voor het verwerken van gegevens vrij, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven voor een of meer specifieke doeleinden (art. 4 lid 11 jo. art. 6 lid 1 sub a AVG). Bovendien geldt op grond van art. 7 AVG dat de verwerkingsverantwoordelijke (Meta) moet kunnen aantonen dat aan deze voorwaarden is voldaan. Nu gebruikers kennelijk onbewust gevoelige informatie hebben gedeeld, kan worden betoogd dat toestemming in dit geval niet rechtsgeldig is verstrekt.
Daar komt ook nog bij dat Meta’s interface mogelijk kwalificeert als een ‘dark pattern’ in de zin van art. 25 lid 1 Digital Services Act (DSA), nu de vormgeving van het keuzescherm ertoe heeft geleid dat gebruikers beslissingen namen die zij waarschijnlijk niet genomen zouden hebben bij volledige kennis van zaken. Dark patterns zijn onder EU-recht verboden omdat ze de autonomie van gebruikers ondermijnen.
Indien wordt vastgesteld dat Meta persoonsgegevens zonder geldige toestemming heeft verwerkt, kan dat een schending opleveren van art. 6 lid 1 sub a AVG (toestemming als rechtsgrondslag). Overtredingen van de AVG kunnen worden beboet door toezichthoudende autoriteiten, zoals de Autoriteit Persoonsgegevens (AP) in Nederland of andere bevoegde instanties binnen de EU (art. 58 en 83 AVG). Voor overtredingen van de DSA is in Nederland de Autoriteit Consument & Markt (ACM) de aangewezen toezichthouder. Gezien de omvang van het probleem, dat mogelijk duizenden betrokkenen treft, ligt het voor de hand dat toezichthouders deze zaak nader zullen inspecteren.
Huidige stand van zaken
Na de ophef heeft Meta een aanpassing doorgevoerd in de app. Vanaf nu moeten gebruikers na het indrukken van ‘Share’ eerst nog op hun scherm klikken met daarop de volgende melding: "Prompts you post are public and visible to everyone… Avoid sharing personal or sensitive information." Pas daarna kan ‘Post to feed’ worden aangeklikt. Hoewel hiermee strikt genomen nog steeds geen uitdrukkelijke toestemming wordt gevraagd in de zin van de AVG, kan wel worden gesteld dat gebruikers nu bewust instemmen met de openbaarmaking.
Conclusie
De introductie van Meta’s AI-app heeft geleid tot onbedoelde openbaarmaking van intieme gesprekken, waardoor de privacy van talloze gebruikers in het geding is gekomen. Daarbij is mogelijk in strijd gehandeld met de AVG en de DSA. Meta heeft inmiddels maatregelen genomen om onbedoeld delen moeilijker te maken, waarmee het probleem lijkt te zijn ondervangen. Tegelijkertijd illustreert deze zaak hoe essentieel het is dat grondrechten als privacy goed worden beschermd, zeker nu AI-systemen een steeds ingrijpender rol spelen in het dagelijks leven van gebruikers.
AI-forum 2025/2
Het doel heiligt de middelen – Anthropic’s nieuwe AI grijpt naar chantage
Anthropic heeft met Claude Opus 4 een van de meest geavanceerde AI-modellen tot nu toe gelanceerd. Maar bij interne veiligheidstests bleek het model bijzonder doortastend, zelfs manipulatief. Deze blog bespreekt hoe Claude Opus 4 overging tot chan...
Amerika’s AI Action Plan gelanceerd: snelheid boven veiligheid?
Op 23 juli 2025 presenteerde de Amerikaanse regering het langverwachte AI Action Plan. In een vurige toespraak noemde president Trump kunstmatige intelligentie “pure genius” en verklaarde hij dat Amerika de race om deze technologie koste wat kost ...
De verboden metafoor: AI en antropomorf taalgebruik
Inleiding
Op het snijvlak van auteursrecht & AI is regelmatig (felle) kritiek te lezen op ‘antropomorfiserend’ taalgebruik. Wanneer we als juristen schrijven over AI is het volgens velen onwenselijk dat daarbij ‘mensachtige’ termen worden gebruik...
AI-training is meestal inbreuk, zegt deze Amerikaanse rechter: “Indirect substitution is still substitution”
Voor de tweede keer deze week heeft een Amerikaanse rechter zich uitgesproken over de vraag of AI-training onder fair use valt. In Kadrey v. Meta oordeelt rechter Vince Chhabria dat het gebruik van auteursrechtelijk beschermde boeken voor het trai...
Europa's definitieve AI-gedragscode: veiligheid, auteursrecht en transparantie in aanloop naar 2 augustus 2025
Op 2 augustus 2025 gaan de verplichtingen uit de AI-verordening in voor aanbieders van AI-modellen voor algemene doeleinden. In aanloop naar het nieuwe wettelijke kader heeft het Europese AI Office onlangs de definitieve versie van de gedragscode ...
2024 EU AI-verordening: een gedetailleerde analyse
De AI-verordening is een belangrijk regelgevingskader dat gericht is op het harmoniseren van de ontwikkeling, de toepassing en het gebruik van AI binnen de EU. Deze uitgebreide regelgeving, die op 1 augustus 2024 van kracht is geworden, is bedoeld...
AI Verordening: Hoe verzeker je AI-geletterdheid binnen je organisatie?
Sinds 2 februari 2025 zijn aanbieders en gebruiksverantwoordelijken van AI-systemen verplicht om voldoende AI-geletterdheid te verzekeren van hun personeel en andere personen die namens hen AI-systemen gebruiken. Als onderdeel van de eerste ree...
AI-muziekplatforms in overleg met major labels: wat zijn de mogelijke gevolgen?
Recent werd bevestigd dat de grote platenmaatschappijen (Universal Music Group, Warner Music Group en Sony Music Entertainment) in gesprek zijn met de bekende AI-muziekplatforms Suno en Udio. Volgens diverse bronnen onderhandelen deze partijen ...
The Dutch and Danish proposals for legislation on deepfakes
This article contains a summary and a brief comparison of the Dutch and Danish proposals for legislation relating to deepfakes.
The Dutch proposal is an initiative of member of parliament ms. Rosemarijn Dral, based on an article published in O...