Meta volgt toetsaanslagen van werknemers om eigen AI‑modellen te trainen. Het gaat om een intern programma op werkapparaten en bedrijfssoftware. Het bedrijf wil zo de kwaliteit van zijn algoritmen en datamodellen verbeteren. Het nieuws kwam deze week naar buiten en roept vragen op over privacy en Europese regels.
Meta monitort toetsaanslagen intern
Het programma registreert toetsaanslagen van medewerkers tijdens het werk. De gegevens worden gebruikt als trainingsdata voor kunstmatige‑intelligentiesystemen. Zo probeert Meta patronen in mens‑computerinteractie beter te leren.
Trainingsdata zijn voorbeelden waarmee een model leert om een taak beter te doen. Bij toetsaanslagen kan dat gaan om foutcorrectie, tempo en context van invoer. Zulke gegevens helpen systemen om tekstfuncties en gebruikersinterfaces te verfijnen.
Het is onduidelijk hoe breed het programma is uitgerold en hoe lang data worden bewaard. Ook is niet bekend of medewerkers konden weigeren of anoniem meedoen. Die details zijn cruciaal voor de beoordeling onder privacywetgeving.
Doel: modellen scherper maken
Met invoergegevens kan een algoritme leren hoe mensen typen en corrigeren. Dat kan nuttig zijn voor tekstvoorspelling, autocorrectie en assistentfuncties in apps. Ook kunnen ontwikkelteams zien waar interfaces haperen of vertragen.
Voor AI‑teams levert dit rijke context op die je niet uit openbare data haalt. Het gaat om realtime gebruik, met echte fouten en herstelacties. Zulke signalen zijn waardevol om prestaties in de praktijk te verhogen.
Tegelijk verschuift de grens tussen productmeting en werknemer‑monitoring. Wat begint als kwaliteitsverbetering kan door werknemers worden ervaren als toezicht. Dat maakt transparantie en keuzevrijheid essentieel.
Privacyrisico’s voor personeel
Toetsaanslagen kunnen persoonlijke of gevoelige informatie bevatten. Denk aan e‑mails, interne notities of zelfs wachtwoorden. Zonder strikte filters en dataminimalisatie is het risico op misbruik groot.
Ook wanneer data worden gepseudonimiseerd, blijft herleidbaarheid een reëel risico. Typpatronen en context kunnen personen alsnog identificeren. In arbeidsrelaties is toestemming bovendien vaak niet vrij gegeven door de machtsongelijkheid.
Werkgevers moeten noodzaak en proportionaliteit hard kunnen maken. Minder ingrijpende alternatieven verdienen voorrang, zoals testgroepen met expliciete opt‑in. Heldere communicatie en beveiliging (versleuteling, toegangscontrole) zijn onmisbaar.
Keystroke logging is het vastleggen van toetsaanslagen op een apparaat om gedrag, fouten of prestaties te analyseren.
AVG stelt strenge grenzen
Onder de AVG geldt voor werknemersdata een strikte lat. Een organisatie heeft een rechtsgrond nodig, zoals gerechtvaardigd belang, én moet transparant zijn over doel, bewaartermijnen en ontvangers. Doelbinding en dataminimalisatie zijn verplichte waarborgen.
Voor ingrijpende monitoring is een Data Protection Impact Assessment nodig. Zo’n DPIA beschrijft risico’s voor betrokkenen en maatregelen om die te beperken. Technische maatregelen zoals versleuteling en gescheiden opslag zijn gebruikelijk.
In Nederland speelt ook het instemmingsrecht van de ondernemingsraad (WOR, artikel 27). Voor systemen die personeel volgen of persoonsgegevens verwerken is instemming vereist. De Autoriteit Persoonsgegevens beoordeelt keylogging in de regel als zeer ingrijpend en zelden proportioneel.
AI‑verordening raakt monitoring
De Europese AI‑verordening labelt AI voor arbeids‑ en werknemersmanagement als hoog risico. Systemen die prestaties of gedrag van personeel beoordelen vallen daaronder. Die categorie kent zwaardere plichten dan gewone software.
Bij inzet in de EU zijn risicobeheer, datagovernance, logregistratie en menselijk toezicht verplicht. Ook moet de impact op grondrechten worden beoordeeld. Op het moment van schrijven treden deze verplichtingen gefaseerd in werking; de meeste hoog‑risicoregels gelden vanaf 2026.
Als generieke modellen of foundation‑modellen worden gebruikt, gelden daarnaast transparantie‑eisen. Denk aan documentatie over de herkomst en kwaliteit van trainingsdata. Dit sluit aan bij de roep om uitlegbaarheid bij datagedreven HR‑toepassingen.
Gevolgen voor Nederlandse praktijk
Bedrijven met personeel in de EU moeten hun privacyverklaringen en interne regels bijwerken. Zonder DPIA, OR‑instemming en duidelijke opt‑outs ligt monitoring van toetsaanslagen juridisch kwetsbaar. Publieke organisaties en onderwijsinstellingen kennen bovendien extra zorgplichten.
Voor Meta en andere techbedrijven betekent dit dat interne pilots niet zomaar naar Europa zijn te kopiëren. Lokale afspraken, technische filters en korte bewaartermijnen zijn nodig. Anonimisering alleen is niet genoeg als herleidbaarheid mogelijk blijft.
Een veilig alternatief is werken met vrijwillige testpanels, gesynthetiseerde data en on‑device verwerking. Zo beperk je datastromen en verlaag je risico’s. Dit past bij de geest van de AVG en bij de komende Europese AI‑verordening, met directe gevolgen voor werkgevers en overheid.