Wie betaalt bij AI-fouten? OpenAI, Microsoft en verzekeraars aan zet

In Nederland groeit de zorg over wie betaalt als kunstmatige intelligentie schade veroorzaakt. Bedrijven, verzekeraars en overheden zoeken houvast nu de Europese AI-verordening is aangenomen en nieuwe productaansprakelijkheidsregels volgen. Dit jaar en de komende twee jaar veranderen verplichtingen voor aanbieders en gebruikers, met Europese AI-verordening gevolgen overheid en bedrijfsleven. De kernvraag is wie aansprakelijk is bij fouten van systemen zoals ChatGPT, Google Gemini en Microsoft Copilot.

EU-regels verdelen risico’s

De Europese AI-verordening (AI Act) legt plichten op aan ontwikkelaars, importeurs, distributeurs en gebruikers van algoritmen. Voor hoog-risico systemen gelden extra eisen zoals risicobeheer, data‑hygiëne, logboeken en menselijk toezicht. Bij niet‑naleving kunnen toezichthouders hoge boetes opleggen. Dat verandert hoe risico’s langs de keten worden verdeeld.

Daarnaast moderniseert de nieuwe Productaansprakelijkheidsrichtlijn software‑schade, updates en datamodellen. Daarmee kan een defect in AI‑software, of een gebrekkige update, sneller als productfout gelden. In Nederland blijft het huidige stelsel (art. 6:185 BW) gelden tot omzetting van de EU‑regels, op het moment van schrijven voorzien binnen twee jaar. De rol van verzekeraars groeit, omdat claims complexer en technischer worden.

De vraag “wie betaalt” hangt af van ieders rol. De maker van een model (bijvoorbeeld OpenAI), de integrator die het in een product stopt (zoals Microsoft met Copilot), en de organisatie die het inzet in een proces kunnen allemaal aansprakelijk zijn. Contracten, compliance‑dossiers en feitelijk gebruik bepalen uiteindelijk de uitkomst.

De AI‑verordening kent bij verboden praktijken maximale boetes tot 7% van de wereldwijde jaaromzet van een onderneming.

Bewijs bij AI-schade lastig

Bewijs leveren is moeilijk, omdat veel systemen een “black box” zijn. Logboeken en technische documentatie helpen om de keten van gebeurtenissen te reconstrueren. De AI‑verordening verplicht zulke logging voor hoog‑risico systemen, wat benadeelden en verzekeraars kan helpen. Zonder logs is causaliteit lastiger aan te tonen.

Een aparte Europese AI‑aansprakelijkheidsrichtlijn die de bewijslast zou verlichten is op het moment van schrijven niet in werking. Benadeelden zijn dus aangewezen op nationaal recht, zoals onrechtmatige daad. In Nederland kunnen zij documenten vorderen om inzicht te krijgen in ontwerpkeuzes en incidenten, bijvoorbeeld via een exhibitie‑verzoek.

Het onderscheid tussen gebruikersfout en systeemfout is cruciaal. Voorspelbaar gebruik schetst de zorgplicht van de aanbieder; misbruik kan die doorbreken. Voor generatieve modellen die “hallucineren” geldt dat waarschuwingen nuttig zijn, maar niet altijd genoeg als de aanbieder aanzette tot risicovol gebruik.

Hoog-risico AI vereist zorg

Hoog‑risico AI omvat toepassingen in werving, kredietbeoordeling, onderwijs, medische hulpmiddelen en kritieke infrastructuur. Zulke systemen moeten vooraf worden beoordeeld en voorzien van een CE‑markering. Er gelden eisen voor bias‑beperking, gegevenskwaliteit en menselijk toezicht. Dit verlaagt risico’s en beperkt de kans op claims.

Voor Nederlandse ziekenhuizen, banken en andere gereguleerde sectoren geldt een hogere zorgplicht. Niet‑naleving kan leiden tot productaansprakelijkheid of onrechtmatige daad. Een discriminerend selectiesysteem kan bijvoorbeeld schade veroorzaken waarvoor de werkgever opdraait, zeker als waarschuwingen werden genegeerd.

Dataminimalisatie en correct gebruik van persoonsgegevens vallen onder de AVG. Een datalek of onrechtmatige training kan leiden tot schadeclaims op grond van artikel 82 AVG. Deze privacyclaims staan los van, en soms naast, product‑ of contractclaims.

Contract en polis bepalen uitkomst

Contracten verdelen risico’s via vrijwaringen, aansprakelijkheidslimieten en service‑niveaus. Te brede “gebruik op eigen risico”‑clausules houden niet altijd stand, zeker niet bij consumenten of kleine bedrijven. In aanbestedingen vragen overheden steeds vaker om harde compliance‑bewijzen, zoals conformiteitsverklaringen en testrapporten.

Verzekeringen vangen rest‑risico’s op, maar dekkingen verschillen sterk. Beroeps‑ en productaansprakelijkheid dekken niet altijd algoritmefouten, IP‑claims of bestuurlijke boetes. Verzekeraars stellen daarom eisen aan logging, model‑updates, beveiliging en onafhankelijke audits.

Bij open‑source modellen, zoals Llama 3 of Mistral, verschuift de verplichting vaak naar de integrator die het model fijnstemt en uitrolt. Die partij kan in de AI‑verordening als aanbieder gelden. Daarmee draagt zij de compliance‑last én een deel van de aansprakelijkheid.

Overheid scherpt waarborgen aan

Publieke diensten gebruiken steeds vaker algoritmen in besluiten over toeslagen, vergunningen en toezicht. De Europese AI‑verordening gevolgen overheid zijn groot: inventariseren van systemen, risicoklassen bepalen en transparantie naar burgers. De Algemene wet bestuursrecht stelt al eisen aan motivering en zorgvuldigheid, die met AI overeind moeten blijven.

Transparantie wordt concreter. Burgers moeten weten wanneer AI wordt ingezet en hoe zij bezwaar kunnen maken. Voor gegenereerde media geldt een plicht tot labeling van synthetische inhoud, om misleiding te voorkomen. Een publiek algoritmeregister helpt bij controle en verantwoording.

Organisaties kunnen nu al stappen zetten. Voer een gegevensbeschermingseffectbeoordeling (DPIA) uit bij hoog‑risico toepassingen. Eis bij inkoop modelkaarten, risicorapporten en incidentprotocollen, en leg rollen en vergoedingen vast. Zo daalt het schaderisico én wordt sneller duidelijk wie betaalt als het misgaat.