Meta’s AI-app leidt tot onbedoelde publicatie van privégesprekken

De nieuwe standalone AI-app van Meta heeft veel stof doen opwaaien. Gebruikers van de app deelden onbedoeld persoonlijke gesprekken met de chatbot op een openbare feed. De situatie heeft vragen opgeroepen over Meta’s interface en de bescherming van persoonsgegevens, met name onder Europese wetgeving.

Wat is er gebeurd?

In april 2025 bracht Meta een zelfstandige AI-app uit waarin gebruikers met de Meta AI-chatbot kunnen communiceren. In tegenstelling tot bijvoorbeeld ChatGPT, bevat de app een publieke “Discover”-feed, waarop gebruikers gesprekken, afbeeldingen en audioberichten kunnen delen. Hoewel berichten in beginsel privé blijven, is er bovenin elk chatvenster een prominente ‘Share’-knop opgenomen. Wanneer gebruikers daarop klikken, verschijnt een venster waarin een preview van het te publiceren bericht wordt getoond, met daaronder de optie ‘Post to feed’. 

Uit tal van mediaberichten blijkt dat veel gebruikers niet doorhadden dat zij via deze handeling hun privégesprekken online deelden. In de publieke feed verschenen duizenden berichten met gevoelige informatie: verzoeken om hulp bij belastingontwijking, juridische vragen, medische en relationele kwesties, en zelfs huisadressen en rechtbankdocumenten. De gesprekken kunnen direct worden gekoppeld aan de social media-accounts van de betreffende gebruikers (mits die waren ingelogd), doordat profielnamen en foto's gewoon zichtbaar zijn.

De privacy-implicaties

De kwestie werpt serieuze vragen op over de privacybescherming van gebruikers. Hoewel Meta stelt dat delen optioneel is, lijkt er sprake van een fundamenteel misverstand bij een aanzienlijke groep gebruikers. Daarmee is het maar de vraag of deze gebruikers daadwerkelijk geldige toestemming hebben gegeven voor de openbaarmaking van hun gesprekken en (persoons)gegevens.

Volgens de Algemene Verordening Gegevensbescherming (AVG) moet toestemming voor het verwerken van gegevens vrij, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven voor een of meer specifieke doeleinden (art. 4 lid 11 jo. art. 6 lid 1 sub a AVG). Bovendien geldt op grond van art. 7 AVG dat de verwerkingsverantwoordelijke (Meta) moet kunnen aantonen dat aan deze voorwaarden is voldaan. Nu gebruikers kennelijk onbewust gevoelige informatie hebben gedeeld, kan worden betoogd dat toestemming in dit geval niet rechtsgeldig is verstrekt.

Daar komt ook nog bij dat Meta’s interface mogelijk kwalificeert als een ‘dark pattern’ in de zin van art. 25 lid 1 Digital Services Act (DSA), nu de vormgeving van het keuzescherm ertoe heeft geleid dat gebruikers beslissingen namen die zij waarschijnlijk niet genomen zouden hebben bij volledige kennis van zaken. Dark patterns zijn onder EU-recht verboden omdat ze de autonomie van gebruikers ondermijnen.

Indien wordt vastgesteld dat Meta persoonsgegevens zonder geldige toestemming heeft verwerkt, kan dat een schending opleveren van art. 6 lid 1 sub a AVG (toestemming als rechtsgrondslag). Overtredingen van de AVG kunnen worden beboet door toezichthoudende autoriteiten, zoals de Autoriteit Persoonsgegevens (AP) in Nederland of andere bevoegde instanties binnen de EU (art. 58 en 83 AVG). Voor overtredingen van de DSA is in Nederland de Autoriteit Consument & Markt (ACM) de aangewezen toezichthouder. Gezien de omvang van het probleem, dat mogelijk duizenden betrokkenen treft, ligt het voor de hand dat toezichthouders deze zaak nader zullen inspecteren.

Huidige stand van zaken

Na de ophef heeft Meta een aanpassing doorgevoerd in de app. Vanaf nu moeten gebruikers na het indrukken van ‘Share’ eerst nog op hun scherm klikken met daarop de volgende melding: "Prompts you post are public and visible to everyone… Avoid sharing personal or sensitive information." Pas daarna kan ‘Post to feed’ worden aangeklikt. Hoewel hiermee strikt genomen nog steeds geen uitdrukkelijke toestemming wordt gevraagd in de zin van de AVG, kan wel worden gesteld dat gebruikers nu bewust instemmen met de openbaarmaking.

Conclusie

De introductie van Meta’s AI-app heeft geleid tot onbedoelde openbaarmaking van intieme gesprekken, waardoor de privacy van talloze gebruikers in het geding is gekomen. Daarbij is mogelijk in strijd gehandeld met de AVG en de DSA. Meta heeft inmiddels maatregelen genomen om onbedoeld delen moeilijker te maken, waarmee het probleem lijkt te zijn ondervangen. Tegelijkertijd illustreert deze zaak hoe essentieel het is dat grondrechten als privacy goed worden beschermd, zeker nu AI-systemen een steeds ingrijpender rol spelen in het dagelijks leven van gebruikers.