Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2024-2025	Aanhangsel van de Handelingen
	Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden

2456

Vragen van het lid Koekkoek (Volt) aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over het bericht «Waakhond slaat alarm: «Als je nu niet in actie komt, zit jouw foto straks in AI-bot van Instagram»» (ingezonden 25 april 2025).

Antwoord van Staatssecretaris Struycken (Justitie en Veiligheid) (ontvangen 16 juni 2025). Zie ook Aanhangsel Handelingen, vergaderjaar 2024–2025, nr. 2265

Vraag 1

Bent u bekend met het bericht «Als je nu niet in actie komt, zit jouw foto straks in AI-bot van Instagram»¹?

Antwoord 1

Ja.

Vraag 2

Bent u van mening dat de voorgenomen plannen van Meta om gebruikersdata in te zetten als AI-trainingsdata een grove inbreuk is op de privacy van gebruikers van platformen zoals Instagram en Facebook?

Antwoord 2

Ik begrijp dat de bedoelde plannen van Meta vragen oproepen naar de rechtmatigheid ervan in het licht van de Algemene Verordening Gegevensbescherming (AVG), maar een oordeel daarover komt mij niet toe. Het beoordelen van de rechtmatigheid van (voorgenomen) gegevensverwerkingen is aan de bevoegde toezichthoudende autoriteiten, in Nederland is dat de Autoriteit Persoonsgegevens (AP). Ten aanzien van Meta is niet de AP, maar de Ierse toezichthouder, de Data Protection Commission (DPC), leidend, omdat de Europese hoofdvestiging van Meta in Ierland zit. Toezichthouders zijn bij uitstek bevoegd om stappen te ondernemen indien sprake is van een overtreding van de regels die zijn neergelegd in de AVG.

In verband met de inzet van gebruikersdata voor Artificiele Intelligentie (AI) training door Meta, heeft de DPC op 21 mei 2025 een verklaring afgelegd over de plannen van Meta om publieke content van volwassen gebruikers op facebook en Instagram in de Europese Unie (EU) en de Europese Economische Ruimte (EER) te gebruiken voor het trainen van generatieve AI modellen. De DPC heeft eerder in juni 2024 zorgen geuit over deze plannen en heeft Meta verzocht de training van het model te pauzeren. Meta heeft hierop gereageerd door de training uit te stellen en aanvullende maatregelen te nemen, waaronder verbeterde transparantie voor gebruikers, een vereenvoudigd bezwaarformulier en technische waarborgen zoals de-identificatie en filtering van datasets. De DPC blijft, als leidende toezichthoudende autoriteit, de situatie nauwlettend volgen en heeft Meta verzocht een rapport op te stellen met een bijgewerkte evaluatie over de effectiviteit en passendheid van de genomen maatregelen en waarborgen bij de verwerking van persoonsgegevens. Het rapport wordt verwacht in oktober 2025.²

Vraag 3

Deelt u de opvatting dat het verlies van controle over de persoonsgegevens van gebruikers van Facebook en Instagram neerkomt op een aantasting van onze digitale soevereiniteit? Zo ja, wat voor stappen gaat u hiertegen ondernemen?

Antwoord 3

Het Europees Comité voor gegevensbescherming (EDPB), waarin de Europese gegevensbeschermingsautoriteiten samenwerken, heeft op 17 december 2024³ een advies aangenomen over het gebruik van persoonsgegevens bij het ontwikkelen en in gebruik nemen van AI-modellen. Daarin wordt ook ingegaan op de verwerking van persoonsgegevens voor dit doel zonder dat daarvoor toestemming is verkregen van de gebruikers.

De AVG biedt zes grondslagen om persoonsgegevens te mogen verwerken. Toestemming van de betrokkene is een mogelijke grondslag voor het verwerken van persoonsgegevens (artikel 6, eerste lid, onder a, AVG), maar ook zonder toestemming van de betrokkene kan het verwerken van persoonsgegevens rechtmatig zijn. Dat kan het geval zijn als de verwerkingsverantwoordelijke een «gerechtvaardigd belang» (artikel 6, eerste lid onder f AVG) heeft voor de verwerking. Uit het advies van 17 december 2024 van de EDPB volgt dat een verwerkingsverantwoordelijke een gerechtvaardigd belang kan hebben dat erin bestaat dat gegevens worden gebruikt voor de ontwikkeling van een AI-model. Wel noemt de EDPB diverse voorwaarden voor het gebruik van deze grondslag bij het verwerken van persoonsgegevens ten behoeve van het ontwikkelen of inzetten van een AI-model. Zo moet worden vastgesteld dat, indien er sprake is van een gerechtvaardigd belang, aan twee verdere voorwaarden is voldaan: de beoogde verwerking van persoonsgegevens is noodzakelijk ter behartiging van het bovengenoemde gerechtvaardigde belang en de belangen of fundamentele rechten en vrijheden van betrokkenen die door de verwerking van persoonsgegevens worden geraakt, wegen niet zwaarder dan het gerechtvaardigde belang dat met de verwerking wordt gediend. Hoe een belangenafweging in concrete situaties uitvalt, wordt bepaald door de omstandigheden van het geval. Daaruit zal moeten blijken dat het gebruik van persoonsgegevens echt nodig is en dat hetzelfde doel niet kan worden bereikt met bijvoorbeeld geanonimiseerde gegevens. In deze afweging spelen de «redelijke verwachtingen» van de betrokkenen een belangrijke rol. Bij het vaststellen daarvan dient onder meer rekening te worden gehouden met de context van de verwerking en de informatie die de verwerkingsverantwoordelijke aan de betrokkene aanbiedt. De verwerkingsverantwoordelijke kan daarbij op de concrete omstandigheden van het geval toegespitste maatregelen nemen om de impact van de verwerking op de belangen van betrokkenen te mitigeren. Daarbij speelt de toegang tot rechten van betrokkenen onder de AVG een rol, zoals het recht op inzage en het recht op bezwaar. De toezichthouder beoordeelt uiteindelijk of (en zo ja: welke) stappen moeten worden ondernomen tegen een vorm van verwerking.

Vraag 4

Hoe verhoudt het «opt-out» model voor dataverzameling dat Meta gebruikt zich tot de vereisten van de Algemene Verordening Gegevensbescherming (AVG)?

Antwoord 4

Bij de beoordeling of de verwerkingsgrondslag «gerechtvaardigd belang» kan worden ingeroepen, weegt mee of de verwerkingsverantwoordelijke voldoende maatregelen heeft genomen om de impact van een gegevensverwerking op de belangen van betrokkenen te beperken. Het bieden van een onvoorwaardelijke «opt-out» kan volgens het advies van de EDPB worden beschouwd als een zodanige maatregel⁴, die de controle van individuen over de verwerking van hun persoonsgegevens versterkt. Of het opt-out model dat Meta gebruikt in overeenstemming is met de AVG, is ter beoordeling van de onafhankelijke toezichthouder.

Vraag 5

Welke bevoegdheden en middelen heeft de Autoriteit Persoonsgegevens (AP) om in te grijpen tegen praktijken van grote bedrijven zoals Meta? Acht u dit voldoende?

Antwoord 5

Elke toezichthoudende autoriteit heeft op grond van artikel 58 van de AVG verschillende bevoegdheden. De toezichthouder kan bijvoorbeeld de verwerkingsverantwoordelijke of verwerker waarschuwen, berispen of gelasten een verzoek van een gebruiker voor de uitoefening van zijn of haar rechten in te willigen. Ook kan er een geldboete worden opgelegd. De toezichthouder kan bovendien een tijdelijk of definitief verwerkingsverbod opleggen of gelasten de gegevensstromen naar een ontvanger in een derde land op te schorten. Ik acht dit instrumentarium toereikend om toe te zien op de naleving van de gegevensbeschermingswetgeving en waar nodig handhavend op te treden. Ten aanzien van Meta is als gezegd niet de AP maar de Ierse toezichthouder leidend. Wel staan de AP en de andere Europese toezichthouders hierover overeenkomstig artikel 60 van de AVG in contact met de Ierse toezichthouder.

Vraag 6

De AP stelt dat gebruikers momenteel zelf hun privacy moeten beschermen bij een bedrijf als Meta. Deelt u de opvatting dat de verantwoordelijkheid voor privacy niet bij de burgers zou moeten liggen? Ziet u een rol weggelegd voor de overheid om haar burgers te informeren over de bescherming van hun privacy en persoonsgegevens? Zo ja, welke?

Antwoord 6

Het is in de eerste plaats aan de verwerkingsverantwoordelijke om de gegevensbeschermingsregels na te leven en dat ook te kunnen aantonen, maar ook om duidelijk en transparant te communiceren naar haar gebruikers en hen in staat te stellen effectief hun rechten uit te oefenen. Het behoort verder tot de taken van de AP om voorlichting te geven over de AVG, bijvoorbeeld door in algemene zin te ondersteunen bij het uitoefenen van de rechten die de AVG biedt. Ik zie in deze situatie geen rol weggelegd voor de overheid, temeer nu de AP deze rol daadwerkelijk vervult. Haar oproep in de onderhavige kwestie geeft daar blijk van.

Vraag 7

Als Europese privacytoezichthouders hun onderzoek naar mogelijke schendingen van de Europese privacywetgeving door Meta niet vóór 27 mei afronden, is de Nederlandse overheid dan bereid om zelfstandig maatregelen te nemen om de privacy van Nederlandse gebruikers te beschermen? Deelt u de mening dat de waarschuwing van de AP aanvullende actie vanuit de overheid legitimeert?

Antwoord 7

Nee, daarmee zou de Nederlandse overheid op de stoel van de toezichthouders gaan zitten. In het stelsel zoals de AVG dat kent, is het aan verwerkingsverantwoordelijken om verplichtingen na te leven, aan de betrokkenen om rechten uit te oefenen en is het toezicht bij onafhankelijke instanties belegd, niet bij de overheid.

---

1. Algemeen Dagblad d.d. 24 april 2025↩︎

2. DPC statement on Meta AI | 21/05/2025 | Data Protection Commission↩︎

3. https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_nl↩︎

4. EDPB-advies, paragraaf 102.↩︎