De DPC kwam enkele dagen geleden met een opmerkelijk persbericht, vooral bedoeld om zichzelf te feliciteren. Wie of wat de DPC is? Het is de Ierse evenknie van onze Autoriteit Persoonsgegevens, en DPC staat voor Data Protection Commission. Een paar maanden geleden heb ik de DPC genoemd in verband met de opmerkelijke benoeming van Ms. Niamh Sweeney as Commissioner for Data Protection. Opmerkelijk, omdat Sweeny een verleden heeft bij Meta (Whatsapp, Facebook), een bedrijf wat zich aantoonbaar niets gelegen laat liggen aan privacyregels. En zo mogelijk nog opmerkelijk omdat de DPC vanuit Europa in de lead is als het gaat om de regulering van Big Tech…

Maar terug naar het zelf-feliciterende persbericht. Daarin valt het volgende te lezen:

In March 2025, LinkedIn informed the DPC of its intention to train its own proprietary generative AI models using the personal data of LinkedIn members based in the EU/EEA, beginning in early November 2025. Further to a detailed review of the data protection documentation provided by LinkedIn and extensive direct engagement, the DPC identified a series of risks and other issues with the company’s proposed processing of personal data. The DPC communicated these concerns and made a number of recommendations to LinkedIn to address the potential negative impact its plans could have on the data protection rights of individuals.

Een DPA (Data Protection Agency) met rechte rug had natuurlijk moeten zeggen dat LinkedIn de pot op kon, maar DPA’s in Europa hebben zonder uitzondering vergroeiingen van de ruggengraat. De simpelste boodschap zou natuurlijk zijn geweest dat LinkedIn een enkelvoudige en actieve opt-in aan al haar ”members” zou vragen, maar dat stond blijkbaar niet in het script van de DPC…

In plaats daarvan kregen we onderstaande waslijst waarmee DPC blijkbaar erg in haar nopjes is:

– Improved transparency notices for users helping them to understand the personal data LinkedIn will process to train its AI models and their ability to opt out if they so wish;

– A reduction in the scope of the personal data that LinkedIn would process to train its models, both in terms of the personal data to be used and the time period from which it proposed to draw the data;

– Improved measures to prevent the personal data of LinkedIn users under the age of 18 from being used to train the models;

– Improved measures to protect users, including through the implementation of filters to avoid the collection of potentially sensitive information shared on certain LinkedIn Pages and Groups, including trade union-related content; and

– The provision of more detailed risk assessments and other required documentation under the GDPR, such as their Legitimate Interest Assessment, Data Protection Impact Assessment and a Compatibility Assessment.

Hier is de DPC dus trots op. Ik zou me als DPA rot schamen dat ik zo’n mager resultaat voor de bescherming van de Europese burgers zou hebben behaald. Afgeserveerd door LinkedIn die een paar kruimels heeft gestrooid om de muisjes tevreden te houden. De DPC trekt daarbij ten onrechte een heel grote broek aan:

The DPC has not approved, or found compliant, LinkedIn’s use of users’ personal data for generative AI model training. However, the additional measures implemented by LinkedIn have sufficiently addressed the DPC’s concerns such that further regulatory intervention is not considered necessary at present. The DPC will continue to monitor LinkedIn’s GDPR compliance and will exercise further regulatory powers if necessary.

Wat een schertsvertoning! DPC heeft de weg gladgemaakt en schoon geveegd en LinkedIn  moet zich de krampen hebben gelachen.

Als afsluiter van dit gekkenhuis nog even het volgende statement van DPC, die aangeeft wat voor reactieve houding deze (en waarschijnlijk ook alle andere) DPA heeft ten aanzien van de bescherming van de privacy van hun burgers:

We remind all individuals using internet platforms to regularly review their privacy settings and controls so that these continue to reflect their personal preferences.

Het vetgedrukte en onderstreepte deel van de tekst is van de hand van DPC. Het is een lafhartig statement. Een DPA die voor de privacybescherming van haar burgers staat zou aan alle bedrijven die persoonsgegevens van burgers verzamelen een oekaze moeten uitvaardigen waarbij ze de volgende eisen stelt:

– Gebruikers worden vooraf geinformeerd over een op handen zijnde wijziging van een privacyverklaring

– De informatie dient op een begrijpelijke manier te worden gecommuniceerd

– Gebruikers dienen enkelvoudig en ongedwongen akkoord te kunnen geven, indien er veranderingen optreden in de verzameling en/of het gebruik van persoonsgegevens

– Indien een gebruiker geen akkoord geeft dient de bestaande dienstverlening gecontinueerd te worden.