Meta heeft de samenwerking met AI-start-up Mercor tijdelijk gepauzeerd na een datalek bij het jonge bedrijf. Het besluit geldt per direct en raakt een internationaal ontwikkelproject. Beide partijen onderzoeken wat er is gebeurd en welke risico’s er zijn. De stap valt samen met scherper toezicht door de AVG en de Europese AI-verordening, met zichtbare Europese AI-verordening gevolgen overheid en bedrijfsleven.
Meta pauzeert na datalek
Meta stopt de samenwerking zolang er onduidelijkheid is over de veiligheid van gegevens bij Mercor. Het gaat om een tijdelijke maatregel die moet voorkomen dat systemen of data verder in gevaar komen. Mercor onderzoekt de oorzaak en heeft extra beveiliging geactiveerd. Meta zegt interne controles op te schalen totdat er duidelijkheid is.
De praktische impact van de pauze hangt af van de rol die Mercor in het project vervulde. Bij samenwerkingen in kunstmatige intelligentie delen partijen vaak code, modellen of geanonimiseerde datasets. Juist dat maakt zogenoemde ketenrisico’s groter: een zwakke schakel kan de hele keten raken. Het besluit van Meta past in een bredere beweging om leveranciers strenger te toetsen.
Voor Nederlandse gebruikers verandert er op korte termijn weinig. Het onderzoek richt zich op de toeleveringsketen, niet op publieke apps of diensten. Eventuele aanpassingen zullen vooral ontwikkelteams en partners treffen. Updates over hervatting volgen na afronding van het onderzoek.
Omvang en gevolgen onduidelijk
Wat precies is buitgemaakt bij Mercor is op het moment van schrijven niet publiek bevestigd. Bij een datalek is er ongeoorloofde toegang tot gegevens of systemen, bijvoorbeeld door een fout of hack. Zonder helderheid over de aard van de data is ook de juridische impact nog onzeker. Pas daarna volgt een definitieve inschatting van risico’s voor betrokkenen.
Als er Europese persoonsgegevens zijn geraakt, gelden de meldplichten van de AVG. Dat betekent informeren van de toezichthouder en mogelijk van betrokken personen. Voor Meta kan de Ierse toezichthouder een rol spelen door het Europese hoofdkantoor in Dublin. In Nederland kijkt de Autoriteit Persoonsgegevens (AP) mee als er Nederlandse personen zijn geraakt.
Ook niet-persoonsgebonden data kan gevoelig zijn, zoals modelparameters, broncode of toegangstokens. Dergelijke technische “geheimen” kunnen misbruik mogelijk maken, zelfs zonder namen of e-mails. Daarom ligt de focus nu op het veiligstellen van sleutels en toegangen. Die stap beperkt vervolgschade en verkleint de kans op herhaling.
“Een datalek moet binnen 72 uur na ontdekking bij de toezichthouder worden gemeld, staat in de AVG.”
AVG en contractuele plichten
Bedrijven moeten onder de AVG dataminimalisatie toepassen en gegevens versleutelen. In verwerkersovereenkomsten staat doorgaans welke beveiliging leveranciers leveren en hoe zij incidenten melden. Een pauze in de samenwerking is een logisch middel als een leverancier die plichten onderzoekt of aanscherpt. Zo beperken organisaties aansprakelijkheid en mogelijke boetes.
Voor Nederlandse partijen is transparantie richting klanten en medewerkers cruciaal. Laat zien welke gegevens zijn gedeeld met leveranciers en waarom, in simpele taal. Documenteer technische en organisatorische maatregelen, zoals logging en toegangsbeheer. Dat helpt bij audits door de AP of interne compliance-teams.
Ook het uitvoeren van een Data Protection Impact Assessment (DPIA) kan nodig zijn bij gevoelige AI-toepassingen. Een DPIA brengt risico’s in kaart en adviseert mitigerende maatregelen. Als de risico’s hoog blijven, kan voorafgaand overleg met de toezichthouder verplicht zijn. Zo borgen organisaties privacy by design in hun AI-projecten.
Europese AI-verordening: gevolgen overheid
De Europese AI-verordening (AI Act) brengt extra eisen voor aanbieders en gebruikers van AI in de EU. Overheden die algoritmen inkopen moeten streng toetsen op veiligheid, transparantie en data governance. Leveranciers moeten documentatie en risicobeheersing op orde hebben, ook rond cybersecurity-incidenten. Een datalek bij een toeleverancier kan daarom direct effect hebben op aanbestedingen.
Voor high-risk systemen gelden aanvullende verplichtingen, zoals menselijk toezicht en kwaliteitsmanagement. Hoewel een datalek primair onder de AVG valt, raakt het de AI Act via de eis van robuustheid. Overheidsorganisaties doen er goed aan contractueel incidentrapportage en onafhankelijke audits te eisen. Dat verkleint verstoringen in dienstverlening bij problemen in de keten.
Publieke instellingen in Nederland kunnen gebruikmaken van rijksbrede inkoopkaders en toetsingslijsten. Denk aan standaardclausules over beveiliging, exit, en eigendom van data en modellen. Ook gezamenlijke inkoop kan schaalvoordeel bieden voor strengere due diligence. Zo wordt het risico op onverwachte onderbrekingen kleiner.
Ketenbeveiliging als zwakke plek
AI-projecten leunen vaak op meerdere leveranciers voor dataopslag, modeltraining en evaluatie. Elke extra schakel vergroot het aanvalsoppervlak. Basismaatregelen zoals geheimbeheer, “least privilege” en segmentatie blijven essentieel. Zonder dat fundament helpt geen enkele geavanceerde tool.
Organisaties kunnen leveranciers vooraf toetsen op ISO 27001 of SOC 2 en periodiek pentesten afdwingen. Continuous monitoring op API-gebruik en afwijkingen verkleint detectietijd. Contracten horen een recht op audit en snelle sleutelrotatie te bevatten. Zo wordt reageren op incidenten een routine in plaats van improvisatie.
Transparantie over softwarecomponenten helpt ook, bijvoorbeeld via een Software Bill of Materials (SBOM). Dat maakt duidelijk welke open-sourcelibraries of modellen in gebruik zijn. Bij een kwetsbaarheid is dan sneller te zien wie geraakt kan zijn. De herstelactie wordt daarmee gerichter en sneller.
Effect op AI-start-ups
Voor start-ups zoals Mercor is vertrouwen van grote klanten cruciaal. Een datalek kan deals vertragen en due diligence verzwaren, maar hoeft niet het einde te zijn. Snelle transparantie, onafhankelijke forensische analyse en aantoonbare verbeteringen zijn sleutelstappen. Daarmee kan een samenwerking vaak weer opstarten.
Investeerders en klanten vragen steeds vaker om security-roadmaps en certificeringen. Het versneld invoeren van basiscontroles scheelt latere discussies en risico-opslagen. Ook het beperken van datatoegang voor ontwikkelaars verlaagt het risico op menselijk falen. Kleine stappen leveren samen een groot effect op.
Open modellen zoals Llama zijn breed inzetbaar, maar governance blijft maatwerk. Documenteer wie welke weights, datasets en evaluatietools gebruikt. Koppel dat aan logs en automatische alerts bij afwijkend gebruik. Zo wordt het eenvoudiger om incidenten te reconstrueren en te verhelpen.
Wat dit nu betekent
Voor gebruikers van Meta-diensten verandert er op dit moment niets wezenlijks. De pauze gaat om een samenwerking in de coulissen, niet om publieke apps. Wel laat het incident zien dat ketenbeveiliging een blijvend aandachtspunt is. Verwacht daarom meer controles en mogelijk langere doorlooptijden bij nieuwe AI-functies.
Bedrijven en overheden kunnen het moment benutten om eigen leveranciersketens te herzien. Leg vast welke data wordt gedeeld, waarom, en hoe lang. Test procedures voor sleutelrotatie en incidentmelding alsof het echt is. Zo staat de organisatie sterker bij de volgende storing of aanval.
Meta en Mercor werken aan duidelijkheid over oorzaak en impact. Daarna volgt besluitvorming over hervatting en eventuele aanvullende waarborgen. Tot die tijd is voorzichtigheid logisch en juridisch verstandig. Transparantie over vervolgstappen is nu de belangrijkste stap naar herstel van vertrouwen.
