Meta heeft maandag een intern programma stilgezet dat de toetsaanslagen, muisbewegingen en schermactiviteit van zijn Amerikaanse medewerkers registreerde om er AI-modellen mee te trainen. De directe aanleiding is een intern datalek: de gevoelige personeelsdata die het programma verzamelde, bleek binnen het bedrijf voor iedereen toegankelijk.
Wat Meta heeft stopgezet
Het gaat om het Model Capability Initiative (MCI), dat sinds april draait. Het legt vast hoe medewerkers met hun computer omgaan, van toetsaanslagen en klikken tot schermbeelden, om Meta's AI te leren taken als het kiezen in dropdownmenu's en het gebruik van sneltoetsen na te bootsen. Dat het bedrijf het nu pauzeert, is een opvallende ommekeer: eerder kregen Amerikaanse medewerkers nog te horen dat er geen mogelijkheid was om eruit te stappen.
De aanleiding ligt in het verlengde van een eerder incident, waarbij Meta toetsaanslagen van eigen personeel verzamelde en zonder toestemming voor AI-training gebruikte. Nu blijkt dat die gevoelige gegevens intern onvoldoende waren afgeschermd. Volgens documenten die Reuters inzag, was de data toegankelijk voor alle Meta-medewerkers; het lek kwam aan het licht via een screenshot dat Business Insider in handen kreeg.
Hoe het misging
Een medewerker diende een SEV in, een melding van een beveiligingsincident met hoge prioriteit, over de blootstelling van de personeelsgegevens. "We hebben dit programma zorgvuldig ontworpen met privacywaarborgen, en hoewel we op dit moment geen aanwijzing hebben dat data onjuist is ingezien door Meta-medewerkers, pauzeren we het terwijl we onderzoek doen", liet woordvoerder Tracy Clayton weten. De tool stond maandagmiddag volgens een bron nog steeds op te nemen; de pauze wordt geleidelijk uitgerold en kost tijd om voor iedereen door te voeren.
Het programma lag intern al langer onder vuur. Medewerkers hadden eerder hun zorgen geuit en een petitie tegen het programma getekend vanwege het risico op datalekken en ongeoorloofde openbaarmaking. Dat precies dat risico zich nu materialiseert, voedt de kritiek.
Wat dit betekent voor Nederlandse werkgevers
De verleiding om personeel te monitoren groeit met elke AI-belofte: meer data over hoe mensen werken, betekent betere modellen. Maar wie in Nederland of de EU de toetsaanslagen of schermactiviteit van medewerkers wil vastleggen, loopt direct tegen de AVG aan. Zulke monitoring vraagt een gerechtvaardigde grondslag, een gegevensbeschermingseffectbeoordeling (DPIA), instemming van de ondernemingsraad en een strikte proportionaliteitstoets. "Voor AI-training, want we kunnen het" haalt die lat niet.
De Meta-zaak laat bovendien zien dat het echte gevaar vaak niet in het verzamelen zelf zit, maar in wat erna gebeurt: data die overal binnen de organisatie toegankelijk is. Dat is precies de les dat bij AI en de AVG het risico niet in het model zit, maar in je data en hoe je die afschermt. Verzamel je gevoelige gegevens, beperk dan wie erbij kan, leg vast waarom je ze hebt, en vraag jezelf af of je ze überhaupt nodig hebt.
Een tracker uitzetten is makkelijk; het vertrouwen terugwinnen dat je personeel niet als trainingsmateriaal wordt behandeld, is dat niet. Wie AI inzet rond medewerkers, doet er goed aan eerst de spelregels en de toegangsrechten op orde te hebben, en pas daarna de modellen.
Veelgestelde vragen
AI inzetten zonder privacyrisico
Data verzamelen is makkelijk, verantwoord verwerken niet. Ik help je AI en automatisering opzetten met toegangsrechten, grondslag en governance op orde, end-to-end en self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
