De inwerkingtreding van de Europese AI-verordening, ook wel de AI Act genoemd, markeert een paradigmaverschuiving in de digitale rechtsorde. Experts van Van Dam Datapartners lichten toe wat de AI Act inhoudt en wat van organisaties wordt verwacht
Waar de verantwoordelijkheid voor technologische incidenten voorheen vaak versnipperd was over algemene zorgplichten en vage contractuele bedingen, introduceert de AI Act een rigide, risico-gebaseerd kader. Voor organisaties verandert hiermee niet alleen de vraag wie verantwoordelijk is, maar ook waarvoor men precies instaat.
Een cruciale verandering is de positie van de organisatie die AI inzet. Waar de afnemer voorheen vaak als ‘slachtoffer’ van een gebrekkig product werd gezien, krijgt deze nu een actieve zorgplicht. Deze plicht omvat twee belangrijke kerntaken:
AI-geletterdheid
Sinds februari 2025 zijn organisaties verplicht om te zorgen dat hun medewerkers voldoende kennis hebben om AI-systemen verantwoord te gebruiken.
Menselijk toezicht
De gebruiksverantwoordelijke moet ervoor zorgen dat er daadwerkelijk menselijk toezicht wordt uitgeoefend op de output van hoog-risico AI. Men kan zich niet langer verschuilen achter de ‘black box’ van het algoritme.
Wat betekent dit in de praktijk?
De AI Act schuift organisaties een duidelijke verantwoordelijkheid toe: jij bent straks niet alleen gebruiker van AI, maar óók toezichthouder. Dat betekent dat je precies moet weten welke AI je inzet, wat die doet en welke risico’s daaraan verbonden zijn.
In de praktijk betekent dit onder andere:
- Je moet AI-systemen vooraf toetsen op risico’s voor fundamentele rechten. Bijvoorbeeld: maakt jouw AI onbedoeld onderscheid tussen sollicitanten?
- Je moet kunnen uitleggen hoe het systeem werkt. Niet in technisch jargon, maar op zo’n manier dat een gebruiker of medewerker het snapt.
- Je moet registraties bijhouden: welke data zijn gebruikt, wat waren de uitkomsten, en hoe vaak is het systeem geüpdatet?
- Transparantie is verplicht: gebruikers moeten weten dat ze met AI te maken hebben en hoe beslissingen tot stand komen.
Vooral binnen HR- en klantcontactsystemen betekent dit: processen aanpassen, systemen onder de loep nemen en soms ook: keuzes heroverwegen. Het is geen afvinklijstje, maar een doorlopende verantwoordelijkheid.
De wisselwerking met aansprakelijkheid
Hoewel de AI Act primair een bestuursrechtelijk instrument is (met boetes voor niet-naleving tot wel 7% van de wereldwijde omzet), heeft het directe reflexwerking op het civielrechtelijke aansprakelijkheidsrecht. We zien daarin twee belangrijke wijzigingen:
1: De koppeling met de Productaansprakelijkheidsrichtlijn
De vernieuwde Product Liability Directive (ook wel de Productaansprakelijkheidsrichtlijn of PLD) verduidelijkt dat AI en software als ‘producten’ worden beschouwd. Het niet naleven van de veiligheidseisen uit de AI Act levert in een civiele procedure direct een vermoeden van een ‘gebrekkig product’ op. Dit vergemakkelijkt de bewijspositie van benadeelden aanzienlijk.
2: De ‘Rebuttable Presumption of Causality’
Een van de meest ingrijpende verschuivingen (mede ondersteund door de voorgestelde AI Liability Directive) is de verlichting van de bewijslast. Vanwege de complexiteit van AI-algoritmen is het voor een eiser vaak onmogelijk om exact aan te tonen waarom een systeem een fout maakte.
De nieuwe regels introduceren een weerlegbaar vermoeden van causaliteit: als een aanbieder de regels van de AI Act heeft geschonden en er is schade, dan wordt aangenomen dat die schade door die schending komt, tenzij de aanbieder het tegendeel bewijst.
Juridische gevolgen voor de praktijk
Voor de rechtspraktijk betekent dit dat de focus verschuift van ex-post procederen naar ex-ante risicomanagement. Enkele aandachtspunten:
Contractuele vrijwaringen
In de keten tussen ontwikkelaar en eindgebruiker worden ‘back-to-back’ garanties over compliance cruciaal. Wie draait op voor de boete als een dataset niet aan Artikel 10 voldoet?
Transparantie als rechtsplicht
Voor systemen met een lager risico (zoals chatbots of deepfake-technologie) geldt een directe transparantieplicht. Het niet labelen van AI-content is niet langer alleen onethisch, maar een directe onrechtmatige daad.
Governance en bewijsvoering
Bedrijven moeten ‘auditable’ zijn. Het ontbreken van logs (verplicht onder Artikel 12 voor hoog-risico AI) kan leiden tot een onhoudbare procespositie bij incidenten.
Praktische stappen
Je hoeft geen jurist te zijn om met de AI Act aan de slag te gaan. Maar wil je jouw organisatie goed laten aansluiten op de nieuwe wetgeving, dan zul je nu in actie moeten komen. Deze stappen helpen je op weg:
- Maak een overzicht: Wie gebruikt AI, in welke processen en waarvoor?
- Check het risiconiveau: Valt jouw toepassing onder ‘hoog risico’ volgens de AI Act? Dan gelden er extra regels.
- Wees transparant: Zorg dat klanten en medewerkers weten dat AI wordt ingezet.
- Werk samen: Zorg dat leveranciers en partners zich ook aan de regels houden.
- Bouw documentatie op: Houd bij welke AI je gebruikt, waarom en hoe het werkt.
Voldoen aan de AI Act is in eerste instantie vooral een kwestie van bewustzijn en verantwoordelijkheid nemen.
Conclusie
De AI Act maakt een einde aan het ‘wilde westen’ van algoritmische onverantwoordelijkheid. Door strikte normen te stellen aan transparantie, datakwaliteit en menselijk toezicht, creëert de EU een fundament waarop aansprakelijkheid effectief kan worden gevestigd. De verantwoordelijkheid verschuift van de techniek naar de menselijke organisatie achter de techniek.