Socialemediaplatform X gebruikt voorlopig toch niet zomaar de gegevens van Europese gebruikers om zijn AI-modellen te trainen. Dat meldde Nu.nl vorige week. Gebruikers moeten eerst een duidelijke optie krijgen om hun toestemming daarvoor in te trekken. Of is het dan toch bezwaar maken?
Zoals vele partijen is ook X bezig met een eigen genAI chatbot. Deze heet Grok en heeft, wederom net als bij iedereen, enorm veel trainingsdata nodig. En dat kwam even goed uit, want X zit natuurlijk vol met conversaties en iedereen had algemene voorwaarden geaccepteerd waarin vast een regeltje te vinden was.
Probleem daarmee is alleen dat heel veel van die trainingsdata als persoonsgegeven aan te merken is. En die verwerken vereist in de EU meer dan alleen een generieke clausule in de voorwaarden. Als je geen toestemming hebt, dan zul je dit moeten doen met een beroep op het “gerechtvaardigd belang“. Dat vereist dan weer de optie van afmelden met een beroep op persoonlijke omstandigheden.
Onduidelijk is welke grondslag X meent te hanteren, maar wat in ieder geval niet helpt is dat er een stilletjes ingevoerd toestemmingsknopje werd gehanteerd dat standaard op ‘ja’ stond.
De Ierse privacytoezichthouder schrok zo van deze ontwikkeling dat ze voor het eerst in haar bestaan haar zogeheten Section 134-bevoegdheid inzette: een spoedbevel tot stoppen van een bepaalde verwerking omdat de rechten van burgers ernstig en direct bedreigd worden.
Het roept natuurlijk de discussie op waarom men X aanspreekt terwijl zo ongeveer de hele wereld Twitter (en Reddit, en Facebook, et cetera) dagelijks leegtrekt om er AI modellen op te trainen. Het simpele antwoord is natuurlijk: die mogen dat óók niet, alleen zijn iets lastiger op te sporen. En nee, dat het “publieke data” is (wat dat ook betekent), is juridisch irrelevant.
Arnoud
Überhaupt vind ik het gebruik van persoonsgegevens in LLM trainingsdata opmerkelijk. Zover ik weet kan je iets niet ontleren uit een LLM. Dus hoe kunnen ze dan jouw persoonsgegevens later verwijderen als je erom vraagt?
De enige optie is dan opnieuw beginnen met leren, maar dat vind het bedrijf onredelijk terwijl het een bewuste keuze van hun was om de persoonsgegevens te gebruiken.
Zouden ze ook kunnen verplichten om de reeds geleerde data te verwijderen? Ten minste voor zover er mogelijk relevante persoonsgegevens inzitten (relevant is van Europeanen). Het verwijderen kan wel degelijk voor iemand opmerkt dat dat niet kan (immers je kunt ook vanaf 0 opnieuw beginnen met leren).