aansprakelijkheid van de ai agent
Agentic ai kan taken overnemen waar voorheen mensen zich mee bezig hielden. Dat roept echter vragen op over betrouwbaarheid, aansprakelijkheid en governance. Computable sprak daarover met Abel Hoogeveen, legal counsel (tech) en sectiecoördinator ai bij juridisch adviesbureau ICTRecht.
Tekst: Bouko de Groot Beeld: ICTRECHT
Welke juridische processen zijn prima uit te voeren door ai agents?
‘Als je alleen kijkt naar agentic ai volgens de gangbare definitie – dus systemen die zelf kunnen evalueren, plannen, uitvoeren en afronden – dan zie je dat er nog niet zoveel bestaat in de juridische wereld. Ai in het algemeen is al wel heel goed toepasbaar voor verkennende taken, zoals het eerste juridisch onderzoek. Maar specifieke agent-tools die voor juristen zijn bedoeld, staan nog in de kinderschoenen.’
Wat doet ICTRecht zelf al met ai en ai agents?
‘Met échte agents doen we nog niet veel. Maar met ai in het algemeen des te meer. Zo hebben we eigen maatwerk-gpt’s, bijvoorbeeld voor privacy en de AI Act, een NDA-checker en tools voor intellectueel eigendom. Intern bouwen we een tool die newsfeeds automatisch filtert en koppelt aan collega’s die het onderwerp in de gaten houden.’
‘Ai zelf gaat minder hard vooruit dan in 2024. Momenteel zijn het juist toepassingen die belangrijker worden. Denk aan koppelingen met data en processen, of nieuwe manieren van redeneren of reflecteren. Het zwaartepunt verschuift naar concrete apps en integraties. Ik verwacht het komende jaar veel experimenten én nuttige toepassingen. Chatten met ai’s blijft bestaan, maar is zeker niet het enige dat ertoe doet.’
Ai-toepassingen kunnen foto’s scannen en bijvoorbeeld autoschade of moedervlekken ontdekken. Wat doe je als ze een fout maken?
‘Die herkenning wordt echt steeds beter en is soms indrukwekkend, maar er schuilt ook een gevaar in: mensen vertrouwen er sneller in en zien de missers bij randgevallen minder. Rechtspraak hierover zie je nog weinig. Vanuit de nieuwe Europese AI Act worden er wel verplichtingen opgelegd, met name bij hoog risico-processen zoals promotie of ontslag, in de justitieketen, de biometrie, in voertuigen en vliegtuigen, medische apparatuur en bij toegang tot essentiële diensten zoals zorgverzekeringen. Denk bij zulke eisen aan aantoonbare nauwkeurigheid, robuustheid, voortdurend testen en monitoren en altijd afdoende menselijk toezicht. En er moet veel gedocumenteerd worden. Maar buiten die hoog risico-categorie, bestaan er vrij weinig specifieke verplichtingen voor ai.’
‘Als het fout gaat, dan is bewijs vaak het struikelblok. Je moet aantonen dat de fout in het systeem zat of dat er ongeoorloofd gebruik van is gemaakt. In de praktijk is dat vaak heel lastig, zeker bij zelflerende modellen. Daar is nog nauwelijks jurisprudentie over. En zonder aparte regels voor bewijs val je gewoon terug op de algemene productaansprakelijkheid.’
‘Voor consumenten die een ai-dienst gebruiken, blijft de producent in principe aansprakelijk’
Hoe verandert ai, en vooral zelf handelende ai, dat aansprakelijkheidslandschap?
‘Voor consumenten die een ai-dienst gebruiken, blijft de producent in principe aansprakelijk, óók als het model zelflerend is. In een b2b-keten ligt dat echter anders. Als een bedrijf het bij een leverancier gekochte ai-model aanpast en exploiteert, kan een derde partij die dat aangepaste model gebruikt juist dat bedrijf aanspreken. Dan is het nog maar de vraag hoe de schade later wordt verhaald op de oorspronkelijke leverancier. Dat maakt het werkveld bijzonder complex.’
Hoe verzeker je zulke problemen, bijvoorbeeld door een verkeerde ai-handeling?
‘Wat je nu ziet is dat partijen gewone verzekeringsclausules opnemen in contracten. Men moet verzekerd zijn, tot bepaalde maxima. Omdat veel ai-toepassingen toch een relatief laag risicoprofiel hebben, levert dat meestal weinig problemen op. Maar het is nog een jonge markt, met weinig jurisprudentie.’
Ook schadeverhalen volgt nog dezelfde gebaande paden. ‘Voor de derde partij is het logisch om zich eerst te richten tot het tussenbedrijf, dus de partij die de ai-dienst daadwerkelijk exploiteert. Of dat bedrijf daarna weer verhaal kan halen bij de leverancier, hangt af van afspraken en van eventuele uitsluitingsclausules. Dat maakt de verdeling van aansprakelijkheid vaak ingewikkeld.’
Dat valt onder risicomanagement en dus de cfo. Daarnaast doen bij ai ook nog mee de cio, de cso, legal: hoe moet dat?
‘Je ziet dat organisaties steeds meer compliance centraliseren. Nieuwe EU-regels grijpen in elkaar, dus je hebt een afdeling nodig die het geheel overziet. Ai-governance hoort daar ook bij. Onze visie is dat een ai-compliance officer hierin de spil moet zijn: iemand die ethiek, security, techniek en privacy met elkaar verbindt en het juiste team aan tafel krijgt.’
De AI Liability Directive is ingetrokken door de EU. Wat nu?
‘Die richtlijn is politiek gestrand: er was geen consensus. We zijn daarom teruggevallen op de bestaande regels voor productaansprakelijkheid en procesrecht. Een vervanger of nieuw tijdpad is nog niet genoemd.’
Digitale soevereiniteit krijgt net als ai veel aandacht. Waar ligt de grens tussen soevereine ai en ai als rechtspersoon?
‘Dat is meer een filosofische discussie. In het recht zijn rechtspersonen vooral een handig construct. Ik zie niet snel gebeuren dat bedrijven ai los willen koppelen van hun eigen organisatie: ze willen immers de controle houden. Zonder een maatschappelijke omwenteling verwacht ik dus niet dat ai een eigen rechtspersoonlijkheid krijgt of in een soort ai-bevolkingsregister wordt gezet.’
En de toekomst?
‘De ai-modellen zelf gaan wat minder spectaculair vooruit. De winst zit meer in nieuwe technieken en vooral in toepassingen en integraties. Er zullen veel praktische ai-apps bijkomen. Juridisch gezien gaat de AI Act de komende jaren stap voor stap gelden, met een volledige inwerkingtreding in augustus 2026. We verwachten nog nadere richtsnoeren. Onze klanten zijn er nu al mee bezig en lopen daarbij tegen allerlei praktijkvragen aan.’
