Handen die typen op een computertoetsenbord
Nieuws23 juni · 10:195 min leestijd

Meta lekte toetsaanslagen van eigen personeel die het voor AI-training verzamelde

Meta legde de toetsaanslagen, schermbeelden en chats van zijn Amerikaanse medewerkers vast om er AI mee te trainen. Door zwakke toegangscontrole kon plots iedereen binnen het bedrijf bij die data.

Meta verzamelde de toetsaanslagen, muisbewegingen, schermbeelden en complete chatgesprekken van zijn eigen medewerkers om er AI-modellen mee te trainen. En precies die gevoelige data lag vervolgens open voor het hele bedrijf: door gebrekkige toegangscontrole konden medewerkers elkaars vastgelegde activiteit inzien. Meta zette het programma na het incident voor onbepaalde tijd stil.

Het is een ongemakkelijke combinatie van twee dingen die op zichzelf al gevoelig liggen, vergaande personeelsmonitoring en het hergebruik van die gegevens als AI-trainingsdata, plus een datalek dat liet zien hoe slecht de afscherming geregeld was. Voor elke werkgever die overweegt om software- of AI-gebruik van personeel te loggen, is dit een leerzaam voorbeeld van hoe het misgaat.

Wat Meta precies verzamelde

Volgens Wired, dat het verhaal naar buiten bracht op basis van interne memo's en drie medewerkers, ging het om monitoringsoftware op de werkmachines van het Amerikaanse personeel. De software legde toetsaanslagen, muisbewegingen, schermbeelden, volledige prompts, gespreksverslagen, privéchats en zelfs functioneringsbeoordelingen vast. Medewerkers konden de registratie hooguit 30 minuten per keer pauzeren. Het doel: deze data gebruiken om AI te trainen.

Tegen dat plan was intern al langer verzet. Toen het bedrijf de software aankondigde, uitten werknemers zorgen over het vastleggen van persoonlijke gegevens op werkapparatuur. Meta zei destijds vertrouwen te hebben in de privacywaarborgen van het systeem. Dat vertrouwen bleek voorbarig.

Hoe het lek ontstond

Het probleem zat niet in een externe hack, maar in onvoldoende toegangscontrole op het monitoringsysteem zelf: de verzamelde data was via het programma toegankelijk voor alle medewerkers, in plaats van afgeschermd tot een kleine, bevoegde groep. Wie de gevoeligste denkbare dataset over je personeel aanlegt, hun letterlijke toetsaanslagen en privégesprekken, en die vervolgens niet streng afschermt, bouwt een tijdbom. Meta trok de stekker eruit en pauzeerde het hele programma.

Wat dit betekent voor Nederlandse werkgevers

In Nederland zou een programma als dit op meerdere muren stuiten. Het stelselmatig vastleggen van toetsaanslagen en schermbeelden van medewerkers is een vorm van controle die onder de AVG alleen mag bij een gerechtvaardigd doel, een noodzakelijkheidstoets en strikte proportionaliteit. Heimelijke of allesomvattende monitoring is vrijwel nooit toegestaan, en de ondernemingsraad heeft instemmingsrecht op personeelsvolgsystemen. Een pauzeknop van 30 minuten verandert daar niets aan.

De AI-laag maakt het risico dubbel. Wie personeelsdata als trainingsmateriaal gebruikt, verwerkt persoonsgegevens voor een nieuw doel en moet dat apart rechtvaardigen, documenteren en beveiligen. Het Meta-incident laat zien dat het zwakste punt zelden het model is: het zit in hoe je de data verzamelt, bewaart en afschermt. Dat sluit aan bij een patroon dat je in vrijwel elk AI-privacyverhaal terugziet, namelijk dat de grootste AVG-risico's bij AI niet in het model zitten maar in het beheer van je data.

De praktische les is nuchter: verzamel niet wat je niet streng kunt afschermen. Als je software- of AI-gebruik wilt meten, doe dat met geaggregeerde, geanonimiseerde signalen in plaats van letterlijke toetsaanslagen, leg vast waarom je het doet, en regel de toegang en het toezicht vooraf, niet pas nadat de data al rondslingert. Wie dat soort logging en monitoring serieus opzet, behandelt het als een audit-vraagstuk met heldere toegangsrechten en budgetten, precies de discipline die nodig is om AI-agents en geautomatiseerde processen monitorbaar en audit-ready te houden. Het alternatief is dat je eigen meetinstrument je grootste lek wordt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Monitoring zonder privacyrisico

Wil je software- of AI-gebruik in je organisatie meten zonder een datalek te bouwen? Ik denk met je mee over wat je wel en niet vastlegt, ontwerp de aanpak en bouw de logging en monitoring zelf, AVG-proof en waar het kan self-hosted op je eigen infrastructuur.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Bits of Freedom: AIVD en MIVD trainen mogelijk eigen AI met burgerdata
Nieuws
4 min

6 jul 12:13

Bits of Freedom: AIVD en MIVD trainen mogelijk eigen AI met burgerdata

Bits of Freedom leidt uit het CTIVD-rapport over bulkdata af dat de AIVD en MIVD mogelijk hun eigen AI trainen met data van burgers. De diensten bevestigen niets, maar de governance-fout eronder raakt elk bedrijf dat AI traint.

AI-klantcommunicatie op één plek: WhatsApp, mail en chat centraliseren en automatisch triëren
Gids
9 min

1 jul 13:02

AI-klantcommunicatie op één plek: WhatsApp, mail en chat centraliseren en automatisch triëren

Zo breng je WhatsApp Business, e-mail en live chat samen in één gedeelde inbox, laat je AI de urgentie inschatten en routeren, en beantwoord je standaardvragen automatisch zonder de persoonlijke toon te verliezen.

WhatsApp introduceert gebruikersnamen: zo bereiken klanten je straks zonder telefoonnummer
Nieuws
5 min

30 jun 00:22

WhatsApp introduceert gebruikersnamen: zo bereiken klanten je straks zonder telefoonnummer

WhatsApp laat je vanaf deze week een unieke gebruikersnaam reserveren. Na de volledige lancering ziet een nieuw contact je telefoonnummer niet meer, wat het klantcontact en de privacy van ondernemers raakt.

Belastingdienst schond privacywet met Adobe Analytics in betaalomgeving
Nieuws
5 min

26 jun 12:29

Belastingdienst schond privacywet met Adobe Analytics in betaalomgeving

De Belastingdienst volgde bezoekers van zijn website met Adobe Analytics zonder geldige grondslag of toestemming, bevestigt staatssecretaris Eerenberg. Een directe waarschuwing voor elke organisatie die web-analytics inzet op haar site.

Metsola wil chatcontrole doordrukken langs een tegenstemmend parlement
Nieuws
4 min

24 jun 18:22

Metsola wil chatcontrole doordrukken langs een tegenstemmend parlement

De voorzitter van het Europees Parlement, Roberta Metsola, probeert de omstreden CSAM-scanwet alsnog door te drukken, ondanks dat het parlement zich er meermaals tegen keerde. Diplomaten noemen de stap ongekend. Wat betekent dat voor je versleutelde bedrijfscommunicatie?

Meta pauzeert omstreden personeelstracker voor AI-training na intern datalek
Nieuws
4 min

24 jun 14:41

Meta pauzeert omstreden personeelstracker voor AI-training na intern datalek

Meta zet zijn programma stil dat toetsaanslagen en muisbewegingen van eigen personeel registreerde om AI te trainen. Aanleiding is een intern datalek waarbij gevoelige medewerkergegevens voor iedereen toegankelijk bleken.