Exclusief: Meta-tool voor volgen van muiskliks botst met EU-privacyregels
In dit artikel:
Meta Platforms heeft intern een omvangrijk programma uitgerold om het computergebruik van werknemers te monitoren en die data te gebruiken voor het trainen van AI-modellen. Reuters kreeg interne documenten en medewerkersberichten in handen waaruit blijkt dat de tool, genoemd Model Capability Initiative (MCI), muisbewegingen, klikken, navigatie in dropdownmenu’s en nog veel meer registreert van meer dan 200 apps en websites. Het project werd begin mei aan personeel aangekondigd en is bedoeld om AI-agenten te bouwen die routinetaken in software zelfstandig kunnen uitvoeren, onderdeel van CEO Mark Zuckerbergs bredere herstructurering rond AI.
Hoewel Meta stelt dat MCI alleen op apparaten van Amerikaanse werknemers is geïnstalleerd, tonen interne FAQ’s en logbestanden dat communicatie met Amerikaanse collega’s — zoals e-mails en directe berichten — ook wordt vastgelegd wanneer de tegenpartij in de VS de tool heeft ingeschakeld. Daardoor kan de data ongewild ook Europese medewerkers raken. In de weken na de uitrol klaagden werknemers over sterk verhoogd dataverbruik; enkele medewerkers zagen hun maandelijkse thuisinternetbundel binnen dagen opgaan. Een door personeel uitgevoerde analyse suggereerde bovendien dat MCI gekoppeld was aan bestaande beveiligingssoftware, waardoor extra details werden verzameld: codewijzigingen, bezochte URL’s, slaap/waakcycli van computers en zelfs gekopieerde klembordinhoud die onversleuteld werd opgeslagen.
De praktische opzet en reikwijdte van MCI roept directe juridische en ethische vragen op in de EU. Organisaties als NOYB wijzen erop dat AVG-regels eisen dat verwerking een rechtsgrond heeft, transparant is en dat persoonsgegevens op verzoek gewist kunnen worden. Meta heeft in interne documenten aangegeven dat verzamelde gegevens “losgekoppeld” worden van identificerende werknemerinformatie en daarom niet per individu kunnen worden opgezocht of verwijderd — iets wat volgens privacyjuristen problematisch is onder de AVG. De Ierse toezichthouder (Irish Data Protection Commission), die toezicht houdt op Meta in de EU, kreeg van het bedrijf te horen dat EU-werknemersgegevens niet tot het primaire doel van de tool behoren, maar gaf geen verdere toelichting.
Binnen Meta is er felle kritiek van medewerkers, die vrezen dat het systeem een gedetailleerd gedragsprofiel van kenniswerkers kan opbouwen. Een intern bericht met verontrustende analyses verdween later uit het bedrijfsnetwerk; Meta noemt zulke conclusies onjuist maar geeft geen uitgebreide antwoorden over de inhoud of over de verwijdering van het bericht. Externe privacyvoorvechters en toezichthouders benadrukken dat de kwestie niet alleen Meta-werknemers raakt: het precedent heeft gevolgen voor elke sector waarin werkgevers AI en monitoring inzetten.
Meta-woordvoerder Dave Arnold herhaalde dat MCI enkel op Amerikaanse apparaten draait en dat de focus ligt op interacties, niet op scherminhoud, en dat het bedrijf zich inzet voor naleving van wet- en regelgeving. Hij beantwoorden geen gedetailleerde vragen over hoeveel data precies wordt opgeslagen of over de juridische onderbouwing. Juridische experts en privacygroepen roepen de Ierse DPC op om nader onderzoek te doen, omdat incidentele opname van EU-gegevens, gebrek aan doelbinding en onmogelijkheid tot individuele verwijdering mogelijk in strijd zijn met de AVG.