Op 24 september 2025 trok de Nederlandse Autoriteit Persoonsgegevens (AP) aan de bel over LinkedIn's plannen om gebruikersdata te gebruiken voor het trainen van kunstmatige intelligentie. Het is niet zomaar een waarschuwing – de AP spreekt van "grote zorgen" en roept actief gebruikers op om hun instellingen aan te passen. Maar wat speelt er precies, en waarom is deze situatie zo problematisch vanuit privacy-perspectief?
De kern van de controverse ligt in LinkedIn's aanpak om vanaf 3 november 2025 automatisch alle gebruikersdata – inclusief profielinformatie tot 2003 – in te zetten voor AI-training, tenzij gebruikers expliciet bezwaar maken. Deze opt-out benadering, gecombineerd met het beroep op "gerechtvaardigd belang" onder de GDPR, zorgt voor juridische en ethische discussie.
Het LinkedIn AI-plan: wat gebeurt er precies?
LinkedIn heeft aangekondigd dat het vanaf 3 november 2025 gebruikersdata gaat inzetten voor het trainen van AI-modellen. Het gaat daarbij om een breed scala aan informatie: profielgegevens zoals naam, foto, huidige functie, werkervaring, opleiding, locatie en vaardigheden. Ook openbare content zoals posts, artikels, reacties en polls worden gebruikt. Private berichten blijven volgens LinkedIn buiten schot.
Wat de situatie extra gevoelig maakt, is de tijdspanne. LinkedIn wil data gebruiken die teruggaat tot 2003 – het jaar dat het platform werd opgericht. Dit betekent dat decennia aan professionele informatie die gebruikers hebben gedeeld, plotseling wordt ingezet voor een doel waarvoor het oorspronkelijk niet was bedoeld.
De standaardinstelling staat op "aan", wat betekent dat alle LinkedIn-gebruikers automatisch meedoen tenzij zij actief de instelling uitschakelen. Deze opt-out benadering vormt een belangrijk deel van de kritiek van toezichthouders.
Waarom slaat de AP alarm?
Monique Verdier, vicevoorzitter van de AP, verwoordde de zorgen helder: "LinkedIn wil gegevens gebruiken die teruggaan tot 2003, terwijl mensen die informatie destijds hebben gedeeld zonder te voorzien dat ze voor AI-training zouden worden ingezet." Dit raakt de kern van informed consent – gebruikers stemden destijds in met het delen van hun professionele informatie voor netwerken en carrièredoeleinden, niet voor het voeden van AI-systemen.
De AP wijst op een fundamenteel controleverlies zodra data eenmaal in AI-modellen zit. Anders dan bij traditionele databases, is het praktisch onmogelijk om specifieke informatie uit getrainde modellen te verwijderen. Dit maakt eventuele schade of misbruik moeilijk omkeerbaar.
Bijzonder zorgwekkend zijn de bijzondere categorieën persoonsgegevens die kunnen worden afgeleid uit LinkedIn-profielen. Hoewel LinkedIn zegt geen gevoelige data te gebruiken, kunnen AI-systemen uit ogenschijnlijk neutrale informatie zoals werkgeschiedenis, netwerk en posts, gevoelige kenmerken afleiden over gezondheid, etniciteit, religie of politieke voorkeur.
De juridische puzzel van "gerechtvaardigd belang"
LinkedIn rechtvaardigt de dataverwerking onder artikel 6(1)(f) van de GDPR – het zogenaamde "gerechtvaardigd belang". Deze rechtsgrond vereist een zorgvuldige belangenafweging: het belang van LinkedIn bij AI-ontwikkeling moet worden afgewogen tegen de privacy-impact op gebruikers.
Deze rechtvaardiging is echter omstreden. Juridische experts betwijfelen of LinkedIn kan aantonen dat AI-training noodzakelijk is voor hun bedrijfsvoering, en of het belang zwaarder weegt dan de privacy-rechten van miljoenen gebruikers. De schaal van de verwerking – decennia aan data van alle Europese gebruikers – maakt de proportionaliteitstoets extra relevant.
De situatie wordt gecompliceerd door de jurisdictie-kwestie. LinkedIn valt onder toezicht van de Ierse privacytoezichthouder (DPC) omdat het bedrijf zijn Europese hoofdkantoor in Dublin heeft. De Nederlandse AP kan wel waarschuwen en klachten behandelen, maar formele handhaving ligt bij de DPC. Deze versnippering van toezicht vormt een structureel probleem binnen de GDPR-handhaving.
De bredere context: big tech en AI-honger
De LinkedIn-situatie staat niet op zichzelf. Meta kondigde eerder vergelijkbare plannen aan voor Facebook en Instagram data, wat leidde tot soortgelijke bezwaren van Europese toezichthouders. Deze trend toont de groeiende "data-honger" van techbedrijven voor het trainen van steeds geavanceerdere AI-systemen.
De timing is significant. Nu de EU AI Act gefaseerd wordt geïmplementeerd en foundation models onder strengere regelgeving vallen, zoeken bedrijven naar manieren om hun AI-ontwikkeling voort te zetten binnen de juridische kaders. Het gebruik van bestaande gebruikersdata lijkt een logische oplossing, maar botst op privacy-principes die zijn gebaseerd op doelbinding en transparantie.
Praktische gevolgen en bescherming
Voor LinkedIn-gebruikers die bezwaar hebben tegen AI-training met hun data, is actie nodig vóór 3 november 2025. De instelling kan worden aangepast via het privacy-menu onder "Data voor het verbeteren van generatieve AI-functies". Dit moet per account gebeuren – er is geen bulk-optie voor bedrijfsaccounts.
De opt-out is echter niet waterdicht. LinkedIn behoudt het recht om de voorwaarden te wijzigen, en het is onduidelijk hoe lang de opt-out geldig blijft. Bovendien beschermt het alleen tegen toekomstig gebruik – data die al in AI-modellen zit, kan niet worden teruggedraaid.
Voor organisaties die LinkedIn voor professionele doeleinden gebruiken, ontstaan nieuwe dilemma's. Hoe balanceer je de voordelen van zakelijk netwerken tegen de privacy-risico's van AI-training? Sommige bedrijven overwegen het aanscherpen van hun social media-beleid of het beperken van informatie die medewerkers op professionele platforms delen.
De toekomst van consent in het AI-tijdperk
De LinkedIn-controverse illustreert een breder probleem: hoe moet consent werken in een wereld waarin data voor steeds nieuwe doeleinden wordt gebruikt? De huidige GDPR-principes van doelbinding en transparantie lijken niet toereikend voor de realiteit van AI-ontwikkeling, waarin de toepassingsmogelijkheden van data bij verzameling vaak nog onbekend zijn.
Dit roept fundamentele vragen op over de toekomst van platformeconomie en privacy. Moeten bedrijven gebruikers opnieuw om toestemming vragen voor elke nieuwe toepassing van hun data? Of is een bredere, meer flexibele vorm van consent nodig die ruimte biedt voor innovatie zonder gebruikers machteloos te maken?
De uitkomst van de LinkedIn-zaak – of de DPC uiteindelijk de "gerechtvaardigd belang" rechtvaardiging accepteert – zal precedentwerking hebben voor andere techbedrijven met soortgelijke plannen. Het vormt een testcase voor de balans tussen AI-innovatie en privacy-bescherming in Europa.
Voor nu blijft de boodschap van de AP helder: gebruikers die controle willen behouden over hun data moeten actief handelen. Want in de wereld van AI-training geldt meer dan ooit: wie zwijgt, stemt niet per se toe – maar verliest wel de controle.
Hulp nodig met privacy en AI? 💡
Heeft u vragen over de implicaties van AI-training voor uw organisatie? Of wilt u weten hoe u zich kunt beschermen tegen ongewenst datagebruik? Neem contact met ons op voor een vrijblijvend gesprek.