Privacy ‘Ik ga akkoord met de algemene voorwaarden’, vraagt de nieuwe app. Bijna iedereen klikt erop, vrijwel niemand leest ze. Terwijl dat in het tijdperk van AI steeds belangrijker wordt.
Binnen de 79 minuten die een gemiddelde Nederlander nodig heeft om de voorwaarden van webshop Vinted door te nemen, zijn de schoenen die je op het oog had misschien al door iemand anders bemachtigd. En een snelle aankoop doen op webwinkel bol? Eerst 55 minuten voorwaarden lezen. Tel daar nog zo’n 20 minuten aan voorwaarden bij op om die aankopen met PostNL te verzenden, en je zou zo’n tweeënhalf uur bezig zijn om te weten wat er met je data gebeurt bij twee impulsaankopen online.
Bijna niemand zal daarom doorhebben dat Vinted sinds afgelopen september zijn AI-modellen traint met de foto’s, video’s en beschrijvingen van advertenties. Ook al is die aankondiging gewoon te vinden in de algemene voorwaarden. Om bij het deel over AI te komen moeten gebruikers eerst zo’n 1.400 woorden van de gebruiksvoorwaarden lezen (van de bijna 9.400 woorden in totaal). Vinted traint AI om algoritmen en interne ‘machine learning models’ te trainen en de gebruikservaring te verbeteren, zegt het platform.
Volgens privacyregels in de AVG (Algemene verordening gegevensbescherming) moeten mensen kunnen kiezen of zij niet-noodzakelijke gegevens met bedrijven delen. In de praktijk is die keuze een illusie. Om alle voorwaarden van populaire apps en websites die zij op één dag gebruiken te lezen, hebben gebruikers omgerekend namelijk zo’n acht werkdagen nodig. De teksten zijn voor een groot deel van de Nederlanders ook te moeilijk.
Dat blijkt uit een overzicht dat NRC maakte. Daarvoor werd berekend hoelang het duurt om de voorwaarden van zestig populaire apps en websites te lezen voor Nederlanders met een gemiddelde leessnelheid (250 woorden per minuut). Per dienst zou het Nederlanders gemiddeld een uur kosten om te lezen wat er met hun data gebeurt.
„Dat leest natuurlijk niemand”, zegt Kristina Irion, hoofddocent aan het Instituut voor Informatierecht aan de Universiteit van Amsterdam. Zij ziet dat vrijwel iedereen voor het gemak snel op ‘akkoord’ klikt. „De meesten hebben met allerlei dingen ingestemd. Ik denk dat ze zelf niet precies willen weten waarmee.”
Slechts één dienst schrijft de voorwaarden toegankelijk genoeg op: online betaalapp Tikkie. De app heeft tevens een van de kortste voorwaarden (zestien minuten lezen). Die voorwaarden werden door de leestool van Stichting Accessibility, waarmee NRCeen indicatie van de moeilijkheidsgraad van een tekst maakte, als enige ingeschat op B1-niveau. Alle andere voorwaarden werden door de tool ingeschat als moeilijk leesbare teksten.
Gebruikers snappen daardoor zelden wat voor beslissingen ze nemen over hun data. Hun toestemming voldoet mogelijk niet aan de AVG-vereisten als zij niet ‘vrijelijk’ – oftewel bewust en volledig geïnformeerd – akkoord kunnen gaan met de voorwaarden. Mensen betalen daardoor massaal met hun data om diensten gratis te gebruiken, zonder dat ze het doorhebben.
Met de opkomst van generatieve AI-modellen moeten gebruikers nog voorzichtiger omgaan met hun persoonsgegevens, zegt Nadya Purtova, hoogleraar Recht, innovatie en technologie aan de Universiteit Utrecht. Ook overheidsinstanties maken steeds meer gebruik van gegevensgestuurde analyses om bijvoorbeeld fraude te voorspellen en te voorkomen. En die gegevens kunnen gebaseerd zijn op foutief gegenereerde verhalen over mensen, afkomstig uit andere systemen.
Sinds het generatieve AI-model ChatGPT op de markt is, zijn meer digitale bedrijven in de race om zelf ook zo’n model te maken. Kunstmatige Intelligentie bestaat uit meer dan gepersonaliseerde advertenties en pratende chatbots. Met generatieve AI-modellen en persoonsgegevens willen bedrijven hun diensten nóg gerichter afstemmen op hun gebruikers.
Geef je toestemming om AI-bots te trainen met je gegevens, dan blijven die circuleren in het model. Deze modellen kunnen de persoonsgegevens waarmee ze zijn getraind ‘onthouden’. En lekken. Bovendien gaat generatieve AI zelf met die gegevens aan de haal. En wat de bot genereert, klopt niet altijd.
„Belangrijke beslissingen met een enorme impact op onze levens kunnen afhankelijk worden van gegevens waarvan de kwaliteit niet gegarandeerd kan worden”, zegt Purtova. „Voor zover ik weet gebruikte de Belastingdienst gegevens van het internet voor profilering om mogelijke fraudegevallen op te sporen. Als zulke gegevens door AI zijn ‘gehallucineerd’, kan dat in het ergste geval leiden tot een nieuw soort Toeslagenaffaire”.
De gebruikersvoorwaarden worden bovendien regelmatig veranderd, maar die aanpassingen worden amper gelezen, weet hoofddocent Irion. „Je hebt op een bepaald moment ingestemd met voorwaarden, en dan worden die weer aangepast. Je moet constant scherp blijven op de aanpassingen die zij doen. En je hebt het recht om niet akkoord te gaan met de voorwaarden van een dienst, ook als je het niet eens bent met aanpassingen.”
Gebruikers waren onlangs niet te spreken over zulke plotselinge veranderingen in voorwaarden van bestandendeeldienst WeTransfer (dat geüploade bestanden wilde gaan gebruiken voor AI-training) en bij parkeerapp EasyPark (dat de kosten ineens verhoogde). Veel trouwe gebruikers besloten te stoppen met die diensten.
Door de onstilbare datahonger van grote digitale bedrijven neemt de druk op gebruikers toe om de voorwaarden wél aandachtig te lezen. Bedrijven zoals Meta, Google en Microsoft gebruiken al langer persoonsgegevens om gerichte advertenties aan hun gebruikers aan te bieden, waardoor de bedrijven meer geld kunnen verdienen. AI-modellen zijn de laatste hype in zulke datagedreven praktijken.
Afgelopen maanden meldden WeTransfer, LinkedIn en Meta dat zij hun eigen AI-modellen gingen trainen met gegevens van gebruikers. LinkedIn (dat in handen is van Microsoft) kondigde afgelopen september aan dat het daarvoor profielgegevens als namen, foto’s, huidige functie, werkervaring, opleiding, locatie en vaardigheden wil gebruiken.
De Autoriteit Persoonsgegevens (AP) roept mensen om die reden op die functie op LinkedIn uit te zetten vóór 3 november (lees hier hoe je dat kan doen). Zo’n oproep deed de toezichthouder afgelopen april ook toen Meta, het moederbedrijf van Facebook, Instagram en WhatsApp, aankondigde alle openbare gegevens van hun gebruikers én gesprekken met Meta-AI te gebruiken om hun modellen te trainen.
Bij Vinted ontbreekt de optie om je gegevens niet in AI-modellen te laten belanden vooralsnog. In reactie op vragen van NRC zegt Vinted alleen openbare gegevens zoals foto’s en productbeschrijvingen te gebruiken, geen persoonsgegevens. Het bedrijf zegt de gegevens en AI-modellen niet te commercialiseren, verkopen, of aan derden aan te bieden.
„Zo, dat was het. Je bent aan het einde gekomen van ons privacybeleid. We hopen dat het net zo boeiend en duidelijk was als we voor ogen hadden.” De slotzinnen komen van datingapp Tinder. Iemand die via die app een leuke levenspartner wil vinden en een gemiddelde leessnelheid heeft, zou zo’n 20 minuten over dat privacybeleid doen. De vrijgezel moet daarnaast nog een uur vrijmaken om ook de gebruiksvoorwaarden te lezen. Voor een Tinder-gebruiker kan beginnen met swipen, moet die zeker 1 uur en 20 minuten aan voorwaarden lezen om te begrijpen hoe het bedrijf persoonsgegevens gebruikt.
In de analyse van NRC bleken alleen de voorwaarden van berichtendienst Signal, reisplanner 9292OV, en schoolapp Magister minder dan tien minuten leeswerk te kosten voor de gemiddelde Nederlander. Vervoerder NS en supermarkt Albert Heijn kosten zo’n 2,5 uur.
De voorwaarden van reisplanner 9292OV, geïnstalleerd door 40 procent van de bevolking, zijn tegelijkertijd het moeilijkst te begrijpen voor de gemiddelde Nederlander. De voorwaarden zijn stoffig opgeschreven en bevatten veel juridisch jargon.
De documenten met voorwaarden zijn in het algemeen korter en simpeler wanneer een bedrijf weinig gegevens verwerkt. „Als het allemaal zo gecompliceerd en uitgebreid wordt, moet je je afvragen waarom een bedrijf die gegevens wil verzamelen”, zegt Nadia Benaissa, beleidsadviseur bij digitale burgerrechtenorganisatie Bits of Freedom. „Daar weten we natuurlijk het antwoord op”, vervolgt Benaissa. „Mensen worden als een soort winstgevend product beschouwd. Vooral hun data.”
De AVG stelt dat bedrijven zo min mogelijk gegevens van hun gebruikers moeten verwerken, tenzij die gegevens écht nodig zijn voor het functioneren van de dienst. „Toestemming daarvoor moet op een hele duidelijke en begrijpelijke manier gevraagd worden”, vertelt Benaissa. Maar als je „boekwerken aan informatie” moet lezen om te begrijpen waar je mee akkoord gaat, kan je geen „vrijelijke toestemming” geven, zegt ze.
Moeilijke woorden en lange teksten zijn niet te vermijden, zegt hoogleraar Purtova. „Je wil alles vertellen. Dat is best een lastige balans. Informatietechnologie en gerelateerde bedrijfsmodellen worden steeds ingewikkelder.” Maar het doel van de AVG is dat mensen meer controle en zeggenschap hebben over hun data, zegt ze. Daarvoor moeten ze kunnen begrijpen wat ze lezen.
Microsoft, Google, Vinted, NS en Albert Heijn zeggen in reactie op vragen van NRC dat de documenten met hun voorwaarden lang zijn, omdat zij hun gebruikers ‘volledig willen informeren’. De bedrijven zeggen zo te willen voldoen aan de hoge wettelijke standaarden voor gegevensbescherming van de Europese Unie. Heldere communicatie is daarbij belangrijk, stellen zij.
De informatie opdelen met tussenkoppen is daarbij een gebruikelijke oplossing, en belangrijke voorwaarden worden op meerdere plekken uitgelegd. Google gebruikt video’s om de voorwaarden uit te leggen. NS en AH maken gebruik van ‘veelgestelde vragen’, en zeggen complex taalgebruik zo veel mogelijk te vermijden. Vinted wijst NRC erop dat het afgelopen jaar het aantal woorden in de privacy- en gebruiksvoorwaarden met bijna de helft heeft verminderd. Reisplanner 9292OV schrijft bezig te zijn de website en app te verbeteren „waar nodig”, inclusief de privacyverklaring en de gebruiksvoorwaarden. Meta reageerde niet op vragen.
Bedrijven moeten uitleggen waarom zij al die gegevens van hun gebruikers nodig hebben, volgens de AVG. Is het bijvoorbeeld noodzakelijk dat Marktplaats, Buienradar en 9292OV altijd precies weten waar je bent? En dat 9292OV en Buienradar die locatiegegevens aan adverteerders doorgeven?
Juridisch mag het. Maar het is nog steeds onwenselijk dat bedrijven altijd toegang hebben tot je locatie, vindt Benaissa. Als bedrijven nog explicieter zouden beschrijven dat ze altijd je locatie kunnen zien, en precies vertellen waarvoor die gegevens worden gebruikt, denkt zij dat mensen zullen zeggen: ‘ik neem voor de zekerheid mijn regenjas wel mee’.
De AVG regelt of en hoe AI-modellen met gebruikersdata getraind mogen worden. Wel zijn er onzekerheden in die wet: wegen de rechten en belangen van gebruikers zwaarder dan het zakelijke belang om AI te trainen? En hoe kunnen mogelijke negatieve effecten op mensen worden beperkt? Het is bijvoorbeeld nog niet duidelijk of LinkedIn zijn AI-plan volgens de AVG mag uitvoeren. Toezicht op privacywetgeving staat bekend om de zwakke handhaving, zeggen hoofddocent Irion, Benaissa van Bits of Freedom en hoogleraar Purtova.
Bedrijven trainen hun AI-modellen met gebruikersgegevens zolang ze er mee weg kunnen komen, denkt Purtova. „Alle kansen worden onderzocht, omdat de financiële belangen groot zijn. Veel regels zijn breed geformuleerd, wat ruimte laat voor open interpretatie van de wet.” Bits of Freedom stelt al jaren dat toezichthouders als de AP niet afschrikwekkend genoeg werken en roept op tot een proactieve aanpak van overtredingen.
De AP laat via een woordvoerder weten dat de toezichthouder keuzes moet maken in het toezicht. Klachten van burgers bleven in 2024 „langer dan wenselijk liggen”. „Daar waar grote techbedrijven investeren in juridische slagkracht is het ook aan de overheid om toezichthouders qua financiële middelen niet te beperken. Een serieuze en structurele investering in de capaciteit van de AP is hard nodig.”
Wel wijst de AP erop dat samenwerking met Europese toezichthouders „zijn vruchten afwerpt” om de privacyschending door techbedrijven te bestrijden. Purtova roept mensen op voorzichtig te zijn: „ga ervan uit dat alles kan lekken”.
NIEUW: Geef dit artikel cadeauAls NRC-abonnee kun je elke maand 10 artikelen cadeau geven aan iemand zonder NRC-abonnement. De ontvanger kan het artikel direct lezen, zonder betaalmuur.
Doorzie de wereld van technologie elke week met NRC-redacteuren
Source: NRC