Ruimte om AI-modellen te trainen en gebruiken met persoonsgegevens zonder toestemming onder de AVG

De Algemene verordening gegevensbescherming (“AVG”) schrijft voor dat voor elke verwerking van persoonsgegevens een rechtsgeldige grondslag moet kunnen worden ingeroepen. Eén van deze grondslagen is de noodzakelijkheid ter behartiging van een gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde (artikel 6 lid 1 sub f AVG). De verwerkingsverantwoordelijke kan enkel een beroep doen op deze grondslag als het belang dat wordt behartigd “gerechtvaardigd” is, de verwerking van persoonsgegevens die hierbij plaatsvindt noodzakelijk is én de belangen en fundamentele rechten van de betrokkenen (zoals bescherming van hun persoonsgegevens) niet zwaarder wegen dan de belangen van de verwerkingsverantwoordelijke.

We constateren dat deze grondslag – in plaats van toestemming – steeds vaker als basis wordt gebruikt voor de ontwikkeling, training en inzet van AI-modellen. Dat is begrijpelijk, omdat het voor een geldig beroep op toestemming zou betekenen dat voorafgaande, specifieke, geïnformeerde en ondubbelzinnige toestemming zou moeten worden verkregen van elke betrokkene van wie persoonsgegevens worden verwerkt voor het AI-model. Deze toestemming moet ook nog eens vrijelijk, zonder intrinsieke druk of dwang, zijn gegeven. In de praktijk is dit voor de meeste partijen ondoenlijk. De vraag of, en onder welke voorwaarden, het beroep op het gerechtvaardigd belang in deze context toegestaan is onder de AVG, is in de afgelopen periode nader geduid door het Europees Comité voor Gegevensbescherming (afgekort in het Engels tot “EDPB”) en diverse nationale gegevensbeschermingsautoriteiten.

In oktober 2024 publiceerde de EDPB de Richtsnoeren 1/2024 betreffende de verwerking van persoonsgegevens op basis van gerechtvaardigd belang.[1] Deze richtsnoeren hebben tot doel om verwerkingsverantwoordelijken praktische handvatten te bieden voor het toetsen en toepassen van het gerechtvaardigd belang als verwerkingsgrond. Bij elk van de drie cumulatieve voorwaarden die in een belangenafweging moeten worden getoetst, worden concrete gezichtspunten en voorbeelden gegeven. Zo wordt bijvoorbeeld – in lijn met rechtspraak van het Hof van Justitie van de Europese Unie – vastgesteld dat een zuiver commercieel belang om het AI-model te trainen gerechtvaardigd kan zijn.[2] Verder kan ter afweging van de belangen in het voordeel van de verwerkingsverantwoordelijke meewegen dat deze acties heeft ondernomen om de verwerking kenbaar te maken aan de betrokkenen, zodat aangenomen wordt dat zij hier redelijkerwijs van op de hoogte zijn. Ook als de verwerking beperkt nadelige invloed heeft op het leven van de betrokkenen kan dat een factor zijn om de belangenafweging meer in het voordeel van de verwerkingsverantwoordelijk te laten uitvallen. De EDPB benadrukt dat deze beoordeling gedocumenteerd moet worden en voorafgaand aan de verwerking worden uitgevoerd. Bij de ontwikkeling en/of training van een AI-model zal het dan ook doorgaans de aanbieder zijn die – al dan niet op instructie van de afnemer (gebruiksverantwoordelijke) – deze belangenafweging uitvoert.

In december 2024 heeft de EDPB, op verzoek van de Ierse toezichthouder, de Opinie 28/2024 uitgebracht voor de verwerking van persoonsgegevens in het kader van AI-modellen.[3] In deze opinie stelt de EDPB zich op het standpunt dat het gebruik van persoonsgegevens voor AI-training niet op voorhand is uitgesloten van het beroep op gerechtvaardigd belang, maar dat de rechtmatigheid in hoge mate afhankelijk is van o.a. de context, de aard van de gegevens, de redelijke verwachtingen van betrokkenen en de inzet van maatregelen om de fundamentele rechten van de betrokkenen te beschermen. Met deze opinie probeert de EDPB Europese harmonisatie te bevorderen door het bieden van meer verduidelijking aan nationale toezichthouders over de toepassing van het gerechtvaardigd belang in de context van AI-modellen. De Autoriteit Persoonsgegevens (“AP”) heeft in haar recent geüpdatete handreiking voor web scraping door particulieren en private organisaties[4] (een fenomeen dat veelvuldig wordt gebruikt bij het ontwikkelen en trainen van AI-modellen) aangesloten op de gezichtspunten uit de EDPB’s opinie bij de belangenafweging voor een geldig beroep op het gerechtvaardigd belang.

Opvallend is dat de EDPB ook heeft nagedacht over het gebruik van AI-modellen door derde partijen die deze AI-modellen willen gebruiken voor hun eigen AI-systemen. Verschillende scenario’s worden onderzocht, waarbij de EDPB ruimte lijkt te bieden aan afnemers van AI-modellen (gebruiksverantwoordelijken) om deze – onder voorwaarden – toch rechtmatig te kunnen gebruiken als de aanbieder bij de ontwikkeling en training hiervan persoonsgegevens heeft verwerkt zonder een geldige grondslag onder de AVG.

Verschillende big tech-bedrijven hebben inmiddels aangekondigd persoonsgegevens van hun gebruikers te zullen gebruiken voor het trainen van AI-modellen. Daarbij wordt doorgaans verwezen naar het gerechtvaardigd belang als geldige grondslag voor de verwerking van persoonsgegevens, zoals het belang van het verbeteren van producten of het ontwikkelen van nieuwe digitale diensten. De toezichthoudende autoriteiten binnen de Europese Unie kijken verschillend naar de geldigheid hiervan.

De Ierse gegevensbeschermingsautoriteit (Data Protection Commission), die optreedt als leidende toezichthouder voor meerdere van deze big tech-bedrijven, heeft ingestemd met een beroep op gerechtvaardigd belang als verwerkingsgrond voor het gebruik van openbare gebruikerscontent voor AI-training, onder de voorwaarde dat uitgebreide transparantiemaatregelen, bezwaarprocedures en technische waarborgen worden geïmplementeerd.

De AP heeft zich daarentegen kritischer opgesteld, maar keurt een beroep op deze grondslag niet per definitie af. Zij benadrukt dat de effectiviteit van bepaalde maatregelen pas zichtbaar is in de praktijk, zoals het inbouwen van een filter om gegevens te ontdoen van persoonskenmerken en gevoelige informatie, voordat deze gebruikt worden om AI te trainen. De AP heeft consumenten meermaals actief opgeroepen gebruik te maken van hun recht van bezwaar in de context van AI-trainingen door big tech bedrijven.

In Duitsland is eveneens sprake van verdeeldheid: waar de gegevensbeschermingsautoriteit in Hamburg (Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, “HmbBfDI”) aanvankelijk bezwaar maakte tegen AI-training op basis van persoonsgegevens op basis van het gerechtvaardigd belang, werd uiteindelijk besloten de handhavingsprocedure tegen een big tech-partij niet door te zetten, mede in afwachting van een eenduidig Europees kader op dit punt.

De HmbBfDI heeft een uitspraak van de Oberlandesgericht Köln meegewogen, voordat zij besloot om de voornoemde spoedhandhavingsprocedure te beëindigen. In een zaak aangespannen door Verbraucherzentrale Nordrhein-Westfalen, een belangenorganisatie voor consumenten, oordeelde de rechter op 23 mei 2025 dat het gebruik van openbare (persoons)gegevens voor AI-training in het voorliggende geval niet onrechtmatig was. Doorslaggevend was onder meer dat de verwerkingsverantwoordelijke volgens de rechtbank had voldaan aan informatieverplichtingen, bezwaarprocedures beschikbaar had gesteld en maatregelen had getroffen ter beperking van de impact op betrokkenen. In een verklaring gaf de HmbBfDI aan dat een geïsoleerde nationale maatregel niet wenselijk was, mede gelet op de aanstaande Europese evaluatie van deze praktijken. Om die reden wil HmbBfDI niet als enige EU-toezichthouder een nationaal voorlopig verbod uitvaardigen tegen de AI-training in dat specifieke geval. Deze ommezwaai betekent dus niet dat elke training van AI met persoonsgegevens in Duitsland volledig gevrijwaard is van risico’s.

Op dit moment bestaat er binnen de Europese Unie (nog) geen volledig geharmoniseerde lijn met betrekking tot het inroepen het van gerechtvaardigd belang als rechtmatige grondslag voor de verwerking van persoonsgegevens in het kader van AI. De EDPB heeft met haar richtsnoeren en opinie weliswaar een kader geboden, maar de toepassing daarvan blijft afhankelijk van de concrete omstandigheden van de verwerking en van de visies van nationale toezichthouders. De verwachting is dat in de komende periode verdere afstemming zal plaatsvinden tussen de toezichthouders, mede op basis van praktische ervaringen. Zo heeft privacybelangenorganisatie nyob in juni 2024 een klacht ingediend bij onder andere de AP, en Belgische en Duitse toezichthouders tegen verschillende big tech-bedrijven in verband met de verwerking van persoonsgegevens voor AI-trainingen, en staakte de DPC eind 2024 een procedure tegen het platform X nadat die laatste beloofde het gebruik van persoonsgegevens van haar gebruikers voor AI-trainingen te beperken.[5] De verwerking van persoonsgegevens in het kader van AI houdt de (toezichthoudende) gemoederen dus flink bezig.

Totdat sprake is van één uniform EU-kader, waarvan niet uit te sluiten valt dat dit misschien wel een utopie blijkt, blijft het voor organisaties die AI-modellen ontwikkelen, trainen en/of inzetten binnen hun organisatie belangrijk om zorgvuldig om te gaan met de verwerking van persoonsgegevens daarbij. Een grondige, gedocumenteerde afweging zal moeten worden gemaakt – in ieder geval in lijn met het advies van de EDPB én de eigen (leidende) toezichthouder – om te beoordelen of hiervoor een beroep kan worden gedaan op het gerechtvaardigd belang als passende grondslag over de AVG.