Blogs / 

Wees alert bij het inzetten van AI

IT, Privacy & Cybersecurity

30 juni 2025

Geschreven door

Thaïna Franck

Blog Image

In december 2023 heeft “Bumble for Friends” van dating app Bumble, gebruik gemaakt van AI om “AI-ijsbrekers” te genereren. Dit zijn berichten die de gebruiker in kan zetten om “het ijs te breken” met zijn match. Om deze AI-ijsbrekers te kunnen genereren wordt AI ingezet (aangedreven door OpenAI’s ChatGPT). Daarbij wordt persoonlijke profielinformatie van gebruikers gebruikt als input en worden (gevoelige) persoonsgegevens van gebruikers doorgestuurd door Bumble naar OpenAI.

 

AI en persoonsgegevens

Om AI-ijsbrekers in te kunnen zetten, ontvingen gebruikers van Bumble for Friends een pop-up zodra zij de app openden waarin stond: “AI breekt het ijs. We gebruiken AI om je op weg te helpen met chatten. Hierdoor kun je vragen stellen die overeenkomen met de profielinformatie van onze leden”. Indien de gebruikers er niet voor kozen om op “okay” te klikken, bleven zij de pop-up zien totdat zij dit wel deden. 

Klacht van NOYB: inbreuk op de AVG door Bumble

Er is door None of your business (“Noyb”, European Center for Digital Rights) een klacht ingediend tegen Bumble voor deze verwerking van persoonsgegevens. Noyb stelt dat Bumble niet heeft voldaan aan de zes basisprincipes van de Algemene Verordening Gegevensbescherming (“AVG”): 
1. “rechtmatigheid, behoorlijkheid en transparantie”
2. “doelbinding”
3. “dataminimalisatie”
4. “juistheid”
5. “opslagbeperking”
6. “vertrouwelijkheid en integriteit”

Drie kernproblemen in de klacht tegen Bumble

De klacht van Noyb is gebaseerd op drie voorvallen:

  1. Een gebruiker van Bumble for Friends heeft gepoogd op grond van artikel 15 van de AVG toegang te krijgen tot de gegevens die Bumble van haar verwerkt. Bumble is er naar aanleiding van dit verzoek niet in geslaagd om complete informatie te geven over de verwerking van de persoonsgegevens met betrekking tot AI-ijsbrekers;
  2. Bumble heeft het door het gebruik van een neppe toestemmingsbanner doen lijken alsof het vertrouwt op toestemming voor het verwerken van persoonsgegevens. Echter, Bumble stelt dat het feitelijk vertrouwt op legitiem belang als rechtmatigheidsgrond in plaats van toestemming (artikel 6 AVG), maar kan dit niet juridisch beargumenteren. Bumble is, volgens Noyb, niet voldoende transparant hierin geweest en heeft gebruikers in verwarring gebracht met een neppe toestemmingsbanner; en
  3. Bumble heeft gevoelige persoonsgegevens, zoals seksuele geaardheid, verwerkt, die alleen mogen worden verwerkt met uitdrukkelijke toestemming van de betrokkene.

Hoe voorkom je als organisatie AVG-overtredingen?  

  • Stel vast of je persoonsgegevens gaat verwerken in de zin van de AVG.
  • Voldoe aan de basisbeginselen van de AVG:
    • Draag er zorg voor dat, indien persoonsgegevens worden verwerkt, de verwerking ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is;
    • Let erop dat deze persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzamelden niet verder op een met die doeleinden onverenigbare wijze worden verwerkt;
    • Zorg ervoor dat de persoonsgegevens toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt;
    • Houd in de gaten dat de persoonsgegevens juist zijn en zo nodig worden geactualiseerd;
    • Bewaar de gegevens in een vorm dat het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; en
    • Zie erop toe dat de persoonsgegevens, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging en beschadiging.
  • Zorg dat de verwerking rechtmatig is door aan ten minste één van de rechtsgronden voor verwerking te voldoen (artikel 6 AVG):
    • Indien je verwerking berust op toestemming, draag er zorg voor dat je kan aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens;
    • Waarborg dat deze toestemming ook vrijelijk kan worden gegeven. Iemand moet daadwerkelijk keuze hebben, zonder druk, dwang of nadelige gevolgen bij weigering.
  • Verwerk in beginsel geen bijzondere categorieën van persoonsgegevens (dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid – Artikel 9 AVG).
    • Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij voldaan wordt aan één van de gronden uit artikel 9 van de AVG, zoals het hebben van uitdrukkelijke toestemming voor het verwerken van die persoonsgegevens voor een of meer bepaalde doeleinden.
  • Beoordeel of het opstellen van een Data Protection Impact Assessment (DPIA) noodzakelijk is en stel een DPIA op indien dat het geval is.
  • Waarborg dat de rechten van de betrokkene, zoals het recht op inzage, worden gehonoreerd, binnen de juiste termijnen.

Vragen?

Mocht u hulp kunnen gebruiken met privacyvraagstukken, de inzet van AI of het uitvoeren van een DPIA, bent u bij ons kantoor op het juiste adres. Wij beschikken over uitgebreide juridische kennis op het gebied van privacy en ondersteunen u hierbij dan ook graag. Neem contact op met Thaïna Franck

Nieuwsbrief

Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!