Kan een platform de voorwaarden met terugwerkende kracht herzien om AI te kunnen trainen met alle gebruikersdata?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Veel is al gezegd over de recente aankondiging van Linkedin om standaard gebruikersposts en -data te gebruiken om AI te trainen. Wat mij opviel is dat het ook gaat om gegevens die vele jaren teruggaan, tot zelfs 2003! Kun je werkelijk je gebruiksvoorwaarden of privacy policy zo met terugwerkende kracht herzien?
Antwoord: Inderdaad gaat Linkedin binnenkort gebruikersdata gebruiken om AI systemen mee te trainen. Men gebruikt daarbij een opt-out systeem, wat erop wijst dat men zich AVG-technisch beroept op het gerechtvaardigd belang. Daarbij is immers een opt-out verplicht (artikel 21), waarbij formeel je dan redenen moet opgeven maar in de praktijk "ik wil het niet" geaccepteerd wordt.
Naast een uitzondering van privéberichten heeft LinkedIn gezegd niet te trainen op gegevens van minderjarigen. Ook salarisgegevens en sollicitatiegegevens worden niet meegenomen in de training.
Blijft de vraag: hoe kunnen en mogen ze dan teruggaan tot 2003? De reden daarvoor is even flauw als simpel: men stelt het recht te hebben om te trainen op alle data die er nu is. De datum waarop die data werd geschapen, is daarbij irrelevant.
Ook als je het vanuit auteursrechtelijk perspectief bekijkt, is het kort en goed niet van belang wanneer de data werd geplaatst. Je kunt vanaf vandaag bepalen dat alle aanwezige werken mogen worden gebruikt. Dat is dan geen wijziging met terugwerkende kracht. Dat zou het pas zijn als je ook zegt "oh ja we hebben de afgelopen vijf jaar getraind op je data, bij deze verklaren we dat alsnog legaal". De enige manier om hier wat tegen te doen, is actief je oude berichten weghalen.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Uiteraard zag niemand van de 'slachtoffers' dit aankomen. Helemaal niemand.
"Beste klant, omdat wij onze producten graag blijven verbeteren, hebben we een nieuwe feature geïntroduceerd. Die kunt u zo en zo aanzetten. Zou u daar niet in geïnteresseerd zijn, kunt u deze post als niet verzonden beschouwen. Wij wensen u nog een hele fijne dag!"
Maar zo simpel is het helaas niet meer in 2025. En daar wens ik iedereen veel sterkte mee. Want dit is ook weer zoiets wat geen mens op de planeet wil maar wat we toch krijgen.
Voor elke lezer van dit bericht: U krijgt de groeten van mij! En dat is dan wel opt-out. Zie nou maar hoe u er vanaf komt indien ongewenst.
Of de maas in deze wet eindelijk eens dichttimmeren/sterk beperken.
Namelijk het zogenaamde "gerechtvaardigd belang" van bedrijven.
Wat kan ik nu doen? Helemaal niks?
Wat kan ik nu doen? Helemaal niks?
AP inschakelen.
Wat kan ik nu doen? Helemaal niks?
AP inschakelen.
Sorry, maar de AP heeft geen tijd voor kleine probleempjes zoals dat LinkedIn tot in alle eeuwigheid iemands persoonsgegevens heeft en ze nooit meer afstaat. Dat is hetzelfde als bij de politie aangifte doen dat je fiets gestolen is. Daar doen ze niks mee. Moeten ze dan samen met de Ierse toezichthouder LinkedIn hierover gaan aanspreken? De Ierse toezichthouder wordt geleid door een voormalige lobbyist van Meta. Die zal het eerder positief vinden dat LinkedIn die persoonsgegevens nooit meer verwijdert maar wel zonder toestemming gebruikt voor het trainen van AI.
zoek eens naar: "Normuitleg grondslag gerechtvaardigd belang ". Diepgaander dan dat is het waarschijnlijk nooit geformuleerd.
"Ik kan en wil er als bedrijf geld mee verdienen. En dat doe ik zonder rekening te houden met wat onze gebruikers daarvan vinden".
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?