Kan ik aansprakelijk worden gesteld voor schade veroorzaakt door een AI-tool die ik inkoop?

Ja. Als deployer (inzetter) van een AI-systeem draag je aansprakelijkheid voor de inzet ervan, ook als je de tool niet zelf hebt gebouwd. De leverancier is aansprakelijk voor gebreken in het systeem zelf; jij bent aansprakelijk voor de manier waarop je het inzet, voor wie en voor welk doel. Dit onderscheid is cruciaal in de EU AI Act.

Wat zijn de boetes onder de EU AI Act?

Voor verboden AI-toepassingen (hoogste risiconiveau): boetes tot €35 miljoen of 7% van de wereldwijde jaaromzet. Voor hoog-risico AI-systemen: boetes tot €15 miljoen of 3% van de omzet. Voor onjuiste informatie aan toezichthouders: tot €7,5 miljoen of 1,5% van de omzet. Voor MKBs gelden lagere absolute maxima.

Wat moet ik documenteren om aansprakelijkheid te beperken?

Minimale documentatie per ingezet AI-systeem: doel en use case, risicoanalyse, welke data wordt gebruikt, hoe beslissingen worden genomen, wie toezicht houdt, hoe fouten worden gecorrigeerd, en welke communicatie er is geweest met de AI-leverancier. Bewaar deze documentatie minimaal 10 jaar.

AI-aansprakelijkheid in Nederland: wie is verantwoordelijk als het misgaat?

Aansprakelijkheid in het AI-tijdperk: een nieuwe juridische realiteit

Een verzekering weigert een uitkering op basis van een AI-risicoscore. Een sollicitant wordt afgewezen door een geautomatiseerd systeem. Een medisch advies op basis van AI blijkt onjuist. Een klant verliest geld door een AI-gegenereerde financieel advies.

Wie is aansprakelijk?

Tot 2024 was het antwoord onduidelijk. De EU AI Act, die in fasen van kracht wordt, schept helderheid — maar ook nieuwe verplichtingen voor elke organisatie die AI inzet.

De twee rollen: provider versus deployer

De EU AI Act maakt een fundamenteel onderscheid dat elke directeur moet begrijpen.

De provider bouwt of verkoopt het AI-systeem. OpenAI, Anthropic, Google, maar ook een Nederlands softwarebedrijf dat een AI-module in zijn product bakt.

De deployer zet het AI-systeem in voor een specifiek doel. Dit is uw organisatie — ook als u een off-the-shelf tool inkoopt.

Als deployer bent u aansprakelijk voor:

De manier waarop u het systeem inzet
Of de inzet past bij het beoogde doel van de leverancier
Of betrokkenen (klanten, medewerkers) adequaat zijn geïnformeerd
Of er menselijk toezicht is waar vereist
Of het systeem gemonitord wordt na inzet

U kunt deze aansprakelijkheid niet contractueel volledig afschuiven op de leverancier, ook niet via de gebruiksvoorwaarden die u accepteert.

Risiconiveaus onder de EU AI Act

De AI Act classificeert AI-systemen in vier risiconiveaus met bijbehorende verplichtingen.

Niveau 1: Onaanvaardbaar risico (verboden)

Verboden in de EU per 2 februari 2025:

Biometrische surveillance in real-time op openbare plekken (met beperkte uitzonderingen)
Social scoring systemen
Manipulatieve AI (subliminale beïnvloeding van gedrag)
Exploitatie van kwetsbare groepen
Predictive policing zonder menselijke controle

Relevantie voor bedrijven: Zorg dat HR-tools, klantbeoordelingssystemen of loyaliteitsprogramma's niet in deze categorie vallen. Sommige gedragsanalyse-tools bevinden zich in een grijs gebied.

Niveau 2: Hoog risico — strenge verplichtingen

Van toepassing op AI-systemen in kritieke sectoren:

Medische hulpmiddelen (diagnose, behandeladvies)
Kredietbeoordeling en verzekeringen
Recruitment en HR-beslissingen (selectie, ontslag, prestatiebeoordeling)
Onderwijs (toetsing, toelating)
Kritieke infrastructuur
Rechtshandhaving
Migratie en asiel
Rechtsbedeling

Verplichtingen voor deployers van hoog-risico AI:

Conformiteitsbeoordeling vóór inzet — documenteer dat het systeem voldoet
Risicomanagementsysteem — identificeer en beheers risico's gedurende de gehele levenscyclus
Datakwaliteit — zorg dat trainings- en operationele data representatief en accuraat is
Technische documentatie — bewaar gedetailleerde logs van beslissingen
Menselijk toezicht — bouw mechanismen in voor menselijke override
Transparantie — informeer betrokkenen dat er AI wordt gebruikt
Nauwkeurigheidsbewaking — monitor prestaties en grijp in bij degradatie

Praktische implicaties voor HR-afdelingen:

Als uw organisatie AI gebruikt voor het screenen van cv's, het beoordelen van medewerkers, of het nemen van ontslagbeslissingen: dit valt onder hoog-risico AI. U dient te kunnen aantonen dat het systeem fair, transparant en controleerbaar is. Discriminatie op basis van beschermde kenmerken (geslacht, leeftijd, etniciteit) door AI is niet alleen ethisch problematisch maar directe aanleiding voor boetes en schadeclaims.

Niveau 3: Beperkt risico — transparantieverplichtingen

AI-systemen die interageren met mensen (chatbots, synthetische media) moeten dit kenbaar maken.

Verplichting: Klanten moeten weten dat ze met AI communiceren, tenzij dit evident is.

Praktisch: Uw klantenservice-chatbot moet zich als AI identificeren. Gegenereerde teksten die voor echt menselijk werk worden gepresenteerd (ghostwritten content, synthetische reviews) zijn problematisch.

Niveau 4: Minimaal risico — geen verplichtingen

AI gebruikt voor interne productiviteit (ChatGPT voor tekst schrijven), spam-filters, aanbevelingssystemen zonder significante impact op personen. Vrijwillige gedragscodes worden aangemoedigd maar zijn niet verplicht.

Nederlandse rechtspraak en jurisprudentie

De Nederlandse rechter heeft al uitspraken gedaan die relevant zijn voor AI-gebruik, ook vóór de AI Act volledig van kracht werd.

SyRI-zaak (2020): De rechter vernietigde het SyRI-systeem dat de overheid gebruikte voor fraudedetectie. Oordeel: onvoldoende transparantie, privacy-schendend, discriminerend risico voor lagere inkomens. Precedent: algoritmische beslissystemen moeten uitlegbaar en controleerbaar zijn.

Consequentie voor bedrijven: Als een overheidssysteem al sneuvelde op deze gronden, zal de lat voor bedrijven niet lager liggen. "Black box" AI in consequentiële beslissingen is juridisch kwetsbaar.

Contractuele bescherming: wat werkt en wat niet

Wat werkt:

Duidelijke contracten met leveranciers over garanties, aansprakelijkheidslimieten en schadevergoeding bij AI-gebreken
Indemnificatieclausules die specificeren wie welk type schade dekt
SLA's met prestatiegaranties en meetbare kwaliteitsindicatoren

Wat niet werkt:

Aansprakelijkheid voor naleving van de AI Act contractueel afschuiven op de leverancier — u blijft als deployer primair verantwoordelijk tegenover toezichthouders
"As is" acceptaties zonder documentatie van de risico-afweging
Stilzwijgend accepteren van leveranciersvoorwaarden die u aansprakelijkheid overdragen

Praktische aanbevelingen per type AI-gebruik

Klantenservice en chatbots

Identificeer de chatbot als AI
Bied altijd een escalatieroute naar een mens
Documenteer welke vragen de chatbot behandelt en welke niet
Bewaar gesprekslogs voor klachtafhandeling

HR en recruitment

Geen volledig geautomatiseerde sollicitatiebeslissingen — altijd menselijke betrokkenheid
Test regelmatig op discriminerende uitkomsten (bijv. lagere scores voor vrouwen of specifieke achtergronden)
Zorg voor explainability: waarom werd deze kandidaat afgewezen?
Informeer kandidaten dat AI-tools worden gebruikt

Krediet- en risicobeoordeling

Hoog-risico classificatie — volledige conformiteitsvereisten van toepassing
Klanten hebben recht op uitleg van de beslissing
Recht op menselijke beoordeling van geautomatiseerde beslissingen
Regelmatige audit van modelperformance en bias

Contentgeneratie en communicatie

Duidelijke interne regels over wat gecommuniceerd mag worden als authentiek menselijk werk
Voorzichtigheid bij het genereren van juridische, medische of financiële adviezen — AI output is geen professioneel advies
Feitchecking van AI-gegenereerde content voordat publicatie

De rol van de CDPO en AI governance

Organisaties met 250+ medewerkers die hoog-risico AI inzetten hebben baat bij een formele AI governance structuur:

AI Register: overzicht van alle ingezette AI-systemen, hun risiconiveau en verantwoordelijke eigenaar
AI Officer of CAIO: verantwoordelijk voor compliance, risicomonitoring en training
Review proces: periodieke audit van ingezette systemen
Incident response: procedure voor als een AI-systeem fouten maakt met significante impact

Kleinere organisaties kunnen dit slank houden: één verantwoordelijke persoon, een eenvoudig register, jaarlijkse review.

Verder lezen

EU AI Act voor MKB — de volledige compliance-gids
Privacy en data compliance — AVG en AI
AI Act compliance checklist — controleer of uw organisatie compliant is