AI Chatbots en AI Agents: juridische aandachtspunten naar Belgisch recht

Algemeen

De inzet van AI Chatbots en AI Agents biedt organisaties innovatieve mogelijkheden om met klanten te communiceren, maar brengt tegelijkertijd complexe juridische uitdagingen met zich mee die grondig geanalyseerd dienen te worden. Hieronder geven wij u een overzicht van het juridisch kader rond het gebruik van AI Chatbots en AI Agents in België.

Wat zijn AI Chatbots of AI Agents?

AI Chatbots en AI Agents zijn digitale systemen die natuurlijke taal kunnen verwerken, begrijpen en erop reageren. Ze vormen een interface tussen bedrijven en hun (potentiële) klanten. Achter deze ogenschijnlijk eenvoudige interactie schuilt echter een complex technologisch proces.

Moderne AI Chatbots zijn gebaseerd op grote taalmodellen (LLM’s) die enorme hoeveelheden tekst verwerken. In een compact proces analyseert het systeem de gebruikersinput, plaatst deze in context van het gesprek, herkent de intentie van de vraag, genereert een antwoord gebaseerd op zijn training, en past waar nodig filters toe om de kwaliteit en veiligheid van het antwoord te waarborgen.

AI Agents gaan nog een stap verder. Deze systemen kunnen naast communiceren ook handelingen uitvoeren, zoals het doorzoeken van databases, het boeken van afspraken, of het genereren van gepersonaliseerde documenten. Ze beschikken over een zekere autonomie (of handelingsvermogen), waardoor ze bepaalde taken zelfstandig kunnen volbrengen binnen vooraf gedefinieerde parameters.

Belangrijk om te weten is dat tijdens dit hele proces gegevens worden opgeslagen, verwerkt en vaak geanalyseerd. Dit kan gebeuren op servers van de onderneming zelf, maar vaker nog op die van externe dienstverleners zoals OpenAI (ChatGPT), Google (Gemini) of Anthropic (Claude).

Welke wettelijke verplichtingen legt de Europese AI-Act op aan bedrijven die AI-technologieën implementeren?

De Europese AI-Act (Verordening (EU) 2024/1689), die in fasen in werking treedt tot 2026, introduceert een reeks verplichtingen voor bedrijven die AI-systemen gebruiken, afhankelijk van het risiconiveau van de toepassing. Voor ondernemingen die AI Chatbots en AI Agents inzetten, zijn de volgende bepalingen bijzonder relevant:

  1. Transparantieverplichting: Gebruikers moeten duidelijk geïnformeerd worden dat ze met een AI-systeem interageren, niet met een mens (art. 50). Het kunstmatige karakter van de interactie moet kenbaar worden gemaakt.
  2. Risicoclassificatie: Afhankelijk van het gebruiksdoel van de AI Chatbot of Agent varieert de classificatie:
    • Chatbots voor algemene klantenservice vallen meestal onder de categorie “beperkt risico” met transparantieverplichtingen (art. 50)
    • Systemen die beslissingen nemen over kredietwaardigheid of contractsluiting kunnen als “hoog risico” worden beschouwd (art. 6)
  3. Vereisten voor hoog-risicosystemen:
    • Uitvoeren van risicobeoordelingen (art. 9)
    • Implementeren van risicobeheersystemen (art. 9)
    • Opstellen van technische documentatie (art. 11)
    • Bijhouden van logboeken (art. 12)
    • Zorgen voor menselijk toezicht (art. 14)
    • Nauwkeurigheid, robuustheid en cyberveiligheid waarborgen (art. 15)
  4. Verboden praktijken: Artikel 5 van de AI-Act verbiedt specifieke toepassingen die relevant zijn voor chatbots en AI agents:
    • Manipulatieve of misleidende technieken: Verbod op AI-systemen die subliminale of manipulatieve technieken gebruiken om gedrag wezenlijk te verstoren, waardoor gebruikers besluiten nemen die ze anders niet hadden genomen. Voor chatbots betekent dit dat ze niet mogen worden ontworpen om gebruikers onopgemerkt te manipuleren.
    • Misbruik van kwetsbaarheden: AI-systemen mogen geen misbruik maken van kwetsbaarheden op basis van leeftijd, handicap of sociale/economische omstandigheden. Chatbots mogen bijvoorbeeld niet specifiek worden geprogrammeerd om ouderen of mensen met cognitieve beperkingen te identificeren en te manipuleren.
    • Sociale scoring en classificatie: Verbod op AI-systemen die mensen evalueren op basis van sociaal gedrag, resulterend in nadelige behandeling in contexten die losstaan van waar de data werd verzameld, of op een onevenredige wijze. Klantenservice-chatbots mogen gebruikers niet categoriseren op een manier die leidt tot discriminatie.
    • Emotieherkenning op de werkplek en in onderwijs: Uitdrukkelijk verbod op AI-systemen die emoties afleiden in werkomgevingen en onderwijscontexten (behalve voor medische/veiligheidsdoeleinden). Chatbots in deze omgevingen mogen dus niet zijn ontworpen om emotionele toestanden van werknemers of studenten te analyseren.
  5. Boetes: Bij niet-naleving van de AI-Act kunnen sancties oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet van een bedrijf, afhankelijk van de aard en ernst van de overtreding.

Voor ondernemingen die gebruik maken van AI Chatbots is het essentieel om tijdig hun compliance-strategie uit te werken, aangezien de meeste bepalingen van de AI-Act vanaf 2025-2026 volledig van kracht worden. Specifiek treedt het volgende gefaseerde tijdspad in werking:

  • 2 februari 2025: bepalingen voor verboden AI-praktijken zijn reeds in werking getreden
  • 2 augustus 2025: regels voor algemene AI-modellen worden van toepassing
  • 2 augustus 2026: vereisten voor hoog-risico AI-toepassingen en transparantieverplichtingen
  • 2 augustus 2027: volledige inwerkingtreding van de AI-Act

Voor meer details over de Ai Act kan u ook onze pagina over de AI-Act raadplegen.

Contractuele bepalingen

Welke juridische aspecten verdienen bijzondere aandacht in contracten met externe AI-leveranciers?

Bij het gebruik van AI Chatbots of AI Agents van derde partijen zijn de volgende aandachtspunten belangrijk:

  1. Service Level Agreements (SLA’s): Zorg voor duidelijke afspraken over beschikbaarheid, responstijden en technische ondersteuning in een SLA. Een AI Chatbot die tijdens piekuren niet beschikbaar is, kan aanzienlijke commerciële schade veroorzaken.

  2. Aansprakelijkheidsverdeling: Bepaal nauwkeurig wie aansprakelijk is in verschillende scenario’s:
    • Als de AI foutieve informatie verstrekt
    • Bij dataverlies of datalekken
    • Wanneer de service onbeschikbaar is
    • Bij schendingen van toepasselijke wetgeving
  3. Verwerkersovereenkomst: Onder de Algemene Verordening Gegevensbescherming (AVG/GDPR) is een verwerkersovereenkomst vereist wanneer de derde partij persoonsgegevens verwerkt, zoals bepaald in artikel 28 GDPR. Deze moet specifieke bepalingen bevatten over:
    • Het doel en de aard van de verwerking
    • De rechten en plichten van beide partijen
    • Beveiligingsmaatregelen
    • Auditmogelijkheden
  4. Eigendom van data en trainingsgegevens: Maak duidelijke afspraken over:
    • Wie eigenaar is van de door gebruikers verstrekte gegevens
    • Of de leverancier deze gegevens mag gebruiken om zijn eigen modellen te trainen
    • Wat er met de gegevens gebeurt na beëindiging van het contract
  5. Exit-strategie: Zorg voor bepalingen die een soepele overgang mogelijk maken bij beëindiging van de samenwerking:
    • Dataportabiliteit naar een nieuwe provider
    • Teruggave of vernietiging van gegevens
    • Overgangsperiode met ondersteuning
  6. Compliance-garanties: Vraag garanties dat de AI-oplossing voldoet aan:
    • De AI-Act
    • GDPR en andere gegevensbeschermingswetgeving
    • Sectorspecifieke regelgeving (bv. voor financiële of medische toepassingen)

Voorbeeld: een Belgische webshop implementeert een chatbot van een Amerikaanse provider zonder adequate contractuele bescherming. Als deze chatbot vervolgens foutieve prijsinformatie zou verstrekken waarop klanten aanspraak maken, zou er onduidelijkheid kunnen ontstaan over de aansprakelijkheid. Dit zou kunnen leiden tot een kostbaar juridisch geschil en aanzienlijke reputatieschade voor de onderneming.

Hoe stel je optimale gebruiksvoorwaarden op voor AI-applicaties en op welke manier maak je deze juridisch bindend voor eindgebruikers?

De gebruiksvoorwaarden vormen de contractuele basis voor de relatie tussen de onderneming en de eindgebruiker van de AI Chatbot of Agent. Om juridisch solide te zijn, moeten deze voorwaarden het volgende bevatten:

  1. Duidelijke identificatie van het AI-systeem: Transparante communicatie dat de gebruiker interageert met een AI, niet met een menselijke medewerker (conform de AI-Act).

  2. Beperkingen van aansprakelijkheid:
    • Disclaimer voor foutieve informatie
    • Beperking van aansprakelijkheid tot directe schade
    • Uitsluiting van garanties voor geschiktheid voor specifieke doeleinden
  3. Gebruiksbeperkingen:
    • Verbod op misbruik of manipulatie van het systeem
    • Verbod op het invoeren van illegale of schadelijke content
    • Bepalingen tegen geautomatiseerde toegang (scraping)
  4. Intellectuele eigendomsrechten:
    • Eigendom van door de AI gegenereerde content
    • Rechten die aan de gebruiker worden verleend
    • Beperkingen op het gebruik van outputs
  5. Privacybepalingen:
    • Welke gegevens worden verzameld
    • Hoe deze worden gebruikt
    • Bewaartermijnen
    • Rechten van betrokkenen

Om deze voorwaarden tegenstelbaar (juridisch bindend) te maken, zijn de volgende maatregelen essentieel:

  • Actieve aanvaarding: Implementeer een mechanisme waarbij gebruikers actief moeten instemmen (bijvoorbeeld via een aanvinkvakje) voordat ze de chatbot kunnen gebruiken. “Browse-wrap” overeenkomsten (waarbij voorwaarden enkel via een link onderaan een webpagina toegankelijk zijn) onvoldoende zijn om bindende voorwaarden te creëren, vooral in B2C-contexten (zie arrest Hof van Justitie).
  • Toegankelijkheid: Zorg ervoor dat de voorwaarden gemakkelijk toegankelijk zijn, in duidelijke taal en in de relevante talen voor uw doelgroep.
  • Versiecontrole: Houd een register bij van verschillende versies van de gebruiksvoorwaarden, inclusief wanneer deze van kracht waren.
  • Bewijs van aanvaarding: Bewaar bewijs van de aanvaarding door gebruikers, inclusief tijdstempel en IP-adres.
  • Updates: Ontwikkel een procedure voor het updaten van de voorwaarden, waarbij gebruikers opnieuw toestemming moeten geven voor significante wijzigingen.

Welke specifieke regels omtrent consumentenbescherming zijn van toepassing bij de inzet van AI Chatbots in klantcommunicatie?

Bij de inzet van AI Chatbots en Agents in B2C-relaties moet bijzondere aandacht worden besteed aan consumentenbeschermingsrecht. De volgende aspecten zijn van belang:

  1. Precontractuele informatieverplichtingen: Volgens Boek VI van het Wetboek Economisch Recht (artikelen VI.45 en VI.64) moeten ondernemingen vóór het sluiten van een overeenkomst duidelijke informatie verstrekken over:
    • De belangrijkste kenmerken van het product of de dienstDe totale prijs, inclusief belastingen en bijkomende kostenDe betalings-, leverings- en uitvoeringsvoorwaardenHet herroepingsrecht (indien van toepassing)
    Als een AI Chatbot of Agent deze informatie verstrekt, moet deze volledig en accuraat zijn. Foutieve of onvolledige informatie kan leiden tot nietigheid van de overeenkomst of aansprakelijkheid.

  2. Verbod op oneerlijke handelspraktijken (artikel VI.93 e.v. WER): AI-systemen mogen niet worden gebruikt voor:
    • Misleidende handelspraktijken (zoals het verstrekken van onjuiste informatie)
    • Agressieve handelspraktijken (zoals ongewenste persistente berichten)
    • Dark patterns (manipulatieve ontwerpelementen)
  3. Herroepingsrecht: Voor overeenkomsten gesloten via een AI Chatbot geldt in principe het standaard herroepingsrecht van 14 dagen voor overeenkomsten op afstand (artikel VI.47 WER). De AI moet correcte informatie verstrekken over:
    • Het bestaan van dit recht
    • De voorwaarden en termijnen
    • De procedure voor herroeping
  4. Geautomatiseerde besluitvorming: Indien de AI Chatbot of Agent geautomatiseerde beslissingen neemt met aanzienlijke gevolgen voor de consument (bijvoorbeeld over kredietwaardigheid), gelden bijzondere regels onder artikel 22 GDPR:
    • Recht op menselijke tussenkomst
    • Recht op het uiten van standpunten
    • Recht op betwisting van de beslissing

Voorbeeld: Een Belgische reisorganisatie zet een AI Chatbot in die automatisch reispakketten samenstelt en boekt. Als deze chatbot zou verzuimen om duidelijke informatie te verstrekken over annuleringsvoorwaarden en bijkomende kosten, zou dit kunnen leiden tot klachten bij de Economische Inspectie. Deze zou dan kunnen oordelen dat er sprake is van een inbreuk op de informatieverplichtingen uit het WER, met als mogelijk gevolg een significante boete en verplichte compensatie voor gedupeerde consumenten.

Aansprakelijkheid

Het gebruik van AI Chatbots en AI Agents brengt specifieke aansprakelijkheidsrisico’s met zich mee, zowel in de precontractuele fase als tijdens en na de uitvoering van overeenkomsten.

Met welke strategieën kunnen ondernemingen de aansprakelijkheidsrisico’s van AI-implementaties effectief beheersen?

Het inperken van aansprakelijkheidsrisico’s bij het gebruik van AI Chatbots en Agents vereist een gelaagde aanpak:

  1. Technische maatregelen:
    • Implementeer robuuste controlemechanismen die outputs valideren voordat ze aan gebruikers worden getoond
    • Stel duidelijke grenzen in voor wat de AI kan doen (zoals maximale transactiebedragen)
    • Zorg voor menselijke supervisie bij kritieke beslissingen
    • Documenteer systematisch alle interacties voor eventuele bewijsvoering
  2. Contractuele maatregelen:
    • Neem duidelijke aansprakelijkheidsbeperkingen op in de gebruiksvoorwaarden conform artikel 5.89 BW over bevrijdingsbedingen
    • Specificeer dat informatie verstrekt door de AI indicatief is en geen bindende offertes vormt in de zin van artikel 5.19 BW
    • Beperk de aansprakelijkheid tot directe schade en sluit gevolgschade uit waar mogelijk
    • Implementeer disclaimers die duidelijk maken dat de uiteindelijke verantwoordelijkheid bij de gebruiker ligt
  3. Organisatorische maatregelen:
    • Train personeel in het monitoren en ingrijpen bij problematische AI-interacties
    • Implementeer een snelle escalatieprocedure voor situaties waarin de AI onjuiste informatie verstrekt
    • Voer regelmatige audits uit van de werking van het systeem
    • Documenteer alle stappen die zijn genomen om risico’s te beperken
  4. Verzekeringsmaatregelen:
    • Sluit een specifieke cyberverzekering af die dekking biedt voor AI-gerelateerde incidenten
    • Controleer of bestaande bedrijfsaansprakelijkheidsverzekeringen AI-risico’s dekken
    • Overweeg gespecialiseerde polissen voor technologiebedrijven
  5. Compliance-maatregelen:
    • Voer regelmatige risicobeoordelingen uit conform de AI-Act
    • Documenteer alle genomen maatregelen om aan regelgeving te voldoen
    • Blijf op de hoogte van ontwikkelingen in relevante wetgeving en jurisprudentie

Belangrijk: Aansprakelijkheidsbeperkingen kunnen in B2C-relaties onder Belgisch recht aanzienlijk worden beperkt door bepalingen inzake consumentenbescherming. Volledige uitsluitingen van aansprakelijkheid worden doorgaans als onredelijk bezwarend beschouwd en kunnen nietig worden verklaard op basis van artikel VI.82 van het Wetboek van Economisch Recht.

Wat zijn de juridische gevolgen wanneer een AI Chatbot onjuiste informatie verstrekt?

De juridische gevolgen van foutieve informatie verstrekt door een AI-systeem variëren afhankelijk van het moment waarop deze werd verstrekt:

Voor het sluiten van een overeenkomst (precontractuele fase):

  • Onder Belgisch recht kan dit leiden tot precontractuele aansprakelijkheid op basis van artikel 5.17 BW en art. 6.5 BW.
  • Het verstrekken van foutieve informatie kan worden beschouwd als een schending van de precontractuele informatieplicht zoals bepaald in artikel 5.16 BW
  • De onderneming kan aansprakelijk worden gesteld voor schade die de klant lijdt door te vertrouwen op deze informatie
  • In sommige gevallen kan dit zelfs leiden tot dwaling (artikel 5.34 BW), wat een grond voor nietigheid van de latere overeenkomst kan vormen

Tijdens het sluiten van de overeenkomst:

  • Foutieve informatie over essentiële elementen van de overeenkomst kan leiden tot dwaling of bedrog (artikelen 5.34 en 5.35 BW)
  • Dit kan resulteren in de vernietigbaarheid van de overeenkomst
  • Bij aanzienlijke verschillen tussen wat de AI communiceerde en wat in de uiteindelijke overeenkomst staat, kan dit worden beschouwd als een schending van de consensus

Na het sluiten van de overeenkomst:

  • Foutieve informatie over de uitvoering van de overeenkomst kan worden beschouwd als een contractuele tekortkoming (artikel 5.73 en 5.83 BW) over sancties bij niet-nakoming)
  • Dit kan leiden tot schadevergoeding (artikelen 5.86-5.89 BW), opschorting van verplichtingen door de klant (artikel 5.98 BW), of in ernstige gevallen ontbinding van de overeenkomst (artikelen 5.90-5.96 BW)
  • Incorrect advies over het gebruik van producten kan leiden tot productaansprakelijkheid

In alle gevallen is een belangrijke vraag: kan de onderneming zich distantiëren van de uitspraken van haar AI-systeem? Het antwoord is doorgaans negatief: aangezien de onderneming ervoor kiest de AI in te zetten als communicatiemiddel, wordt de informatie verstrekt door de AI in principe toegerekend aan de onderneming zelf.

Voorbeeld: Stel dat een AI Chatbot van een energiebedrijf foutieve tariefinformatie zou verstrekken aan potentiële klanten. Als de onderneming vervolgens zou weigeren deze tarieven te honoreren, zou een rechter kunnen oordelen dat de door de AI verstrekte informatie desondanks bindend is. Een dergelijke uitspraak zou kunnen worden gemotiveerd met de overweging dat de onderneming bewust heeft gekozen voor dit communicatiekanaal en dat klanten redelijkerwijs op deze informatie mochten vertrouwen.

Hoe kunnen bedrijven zich juridisch beschermen tegen reputatieschade door ongepast taalgebruik van hun AI-systemen?

Beledigend, discriminerend of anderszins ongepast taalgebruik door een AI Chatbot kan aanzienlijke juridische en reputatieschade veroorzaken. Om dit risico te beperken, zijn de volgende maatregelen essentieel:

  1. Technische beveiligingen:
    • Implementeer robuuste content-filters die ongepaste uitingen blokkeren
    • Gebruik “guardrails” die bepaalde onderwerpen of formuleringen uitsluiten
    • Stel duidelijke parameters in voor de toon en stijl van de AI
    • Pas regelmatig red-teaming toe om kwetsbaarheden te identificeren
  2. Monitoring en supervisie:
    • Zorg voor menselijke supervisie bij gesprekken over gevoelige onderwerpen
    • Implementeer systemen die mogelijk problematische interacties automatisch escaleren
    • Voer steekproefsgewijze controles uit op conversaties
    • Analyseer regelmatig geaggregeerde gegevens om patronen van ongepast gedrag te identificeren
  3. Contractuele maatregelen:
    • Neem in contracten met AI-providers specifieke clausules op over het voorkomen van ongepast taalgebruik
    • Leg boeteclausules vast voor gevallen waarin de AI-provider onvoldoende maatregelen heeft getroffen
    • Specificeer garanties over de kwaliteit en gepastheid van de AI-interacties
  4. Communicatie en verwachtingsmanagement:
    • Maak duidelijk aan gebruikers dat ze interageren met een AI-systeem
    • Creëer een eenvoudig toegankelijk meldingssysteem voor ongepaste uitingen
    • Ontwikkel een crisiscommunicatieplan voor incidenten
  5. Correctieprocedures:
    • Zorg voor een snelle respons bij incidenten
    • Implementeer een formeel excuusprotocol
    • Documenteer alle gevallen en genomen maatregelen
    • Gebruik incidenten als leermomenten om het systeem te verbeteren

Voorbeeld: een Belgische gemeente implementeert een AI Chatbot voor het beantwoorden van burgervragen. Als deze chatbot ongepaste opmerkingen zou maken over een etnische minderheid, zou dit niet alleen kunnen leiden tot negatieve publiciteit, maar ook tot een formele klacht bij Unia of het Vlaams Mensenrechteninstituut. In zo’n scenario zou de gemeente mogelijk aansprakelijk kunnen worden gesteld, zelfs als zij zou aanvoeren dat de uitingen niet intentioneel waren en voortkwamen uit een technische fout. Dit onderstreept het belang van preventieve maatregelen.

Gegevensbescherming

De inzet van AI Chatbots en AI Agents roept belangrijke vragen op over privacy en gegevensbescherming. Voor meer achtergrond over deze onderwerpen, zie onze gespecialiseerde pagina’s over privacy en gegevensbescherming en de AVG/GDPR.

Welke toestemmingsvereisten gelden specifiek voor het verzamelen en verwerken van persoonsgegevens door AI-systemen?

De inzet van AI Chatbots en Agents gaat vrijwel altijd gepaard met de verwerking van persoonsgegevens. De vereiste toestemming hangt af van verschillende factoren:

  1. Rechtsgrond voor gegevensverwerking (artikel 6 GDPR):
    • Toestemming (artikel 6(1)(a) GDPR): Wanneer geen andere rechtsgrond van toepassing is, is expliciete, geïnformeerde toestemming vereist. Deze moet:
      • Vrijelijk gegeven zijn (geen voorwaarde voor dienstverlening wanneer niet noodzakelijk)
      • Specifiek zijn (geen algemene blancocheck)
      • Geïnformeerd zijn (duidelijke informatie over wat er met de gegevens gebeurt)
      • Ondubbelzinnig zijn (door middel van een actieve handeling)
    • Uitvoering van een overeenkomst (artikel 6(1)(b) GDPR): Als de gegevensverwerking noodzakelijk is voor de uitvoering van een contract, is aparte toestemming niet vereist
    • Gerechtvaardigd belang (artikel 6(1)(f) GDPR): In sommige gevallen kan een beroep worden gedaan op het gerechtvaardigd belang van de onderneming, mits een zorgvuldige belangenafweging
  2. Bijzondere categorieën van persoonsgegevens (artikel 9 GDPR): Als de AI Chatbot of Agent bijzondere categorieën van persoonsgegevens verwerkt (zoals gezondheidsgegevens, religieuze overtuigingen, of biometrische gegevens), is in principe uitdrukkelijke toestemming vereist, tenzij een specifieke uitzondering van toepassing is.

  3. Geautomatiseerde besluitvorming (artikel 22 GDPR): Voor geautomatiseerde besluitvorming (inclusief profilering) met aanzienlijke gevolgen voor de betrokkene is specifieke toestemming vereist, tenzij de besluitvorming:
    • Noodzakelijk is voor de uitvoering van een overeenkomst
    • Is toegestaan bij EU- of lidstaatrecht
    • Is gebaseerd op de uitdrukkelijke toestemming van de betrokkene
  4. Praktische implementatie:
    • Implementeer een duidelijk toestemmingsmechanisme voordat de interactie met de AI begint
    • Zorg voor een eenvoudige manier om toestemming in te trekken
    • Documenteer wanneer en hoe toestemming is verkregen
    • Vraag opnieuw toestemming wanneer het doel van de verwerking verandert

Voorbeeld: Stel dat een Belgisch bedrijf klantgegevens zou verzamelen via een AI Chatbot en deze zou gebruiken voor gerichte marketingdoeleinden zonder adequate toestemming. In zo’n geval zou de Gegevensbeschermingsautoriteit een boete kunnen opleggen. De toezichthouder zou kunnen oordelen dat de opt-in mechanismen onvoldoende duidelijk waren en dat klanten onvoldoende werden geïnformeerd over het gebruik van hun gegevens voor profileringsdoeleinden, wat een schending van de GDPR zou vormen.

Hoe verloopt de gegevensstroom nadat informatie door AI Chatbots is verzameld en welke regels zijn hierop van toepassing?

De door AI Chatbots en Agents verzamelde gegevens doorlopen doorgaans een complex traject, met verschillende juridische implicaties in elke fase:

  1. Verzameling en initiële opslag:
    • Gegevens worden verzameld tijdens de interactie met de gebruiker
    • Deze worden opgeslagen in tijdelijke of permanente databases
    • De GDPR vereist dat alleen gegevens worden verzameld die noodzakelijk zijn voor het beoogde doel (dataminimalisatie, artikel 5(1)(c) GDPR)
  2. Verwerking en analyse:
    • Gegevens worden vaak geanalyseerd om de prestaties van de AI te verbeteren
    • Ze kunnen worden gebruikt voor het personaliseren van toekomstige interacties
    • Machine learning-algoritmes kunnen patronen identificeren voor commerciële doeleinden
    • Voor deze secundaire verwerkingen is mogelijk aanvullende rechtsgrond nodig
  3. Doorgifte aan derden:
    • Gegevens kunnen worden gedeeld met:
      • De leverancier van de AI-oplossing
      • Gelieerde ondernemingen binnen een groep
      • Commerciële partners
    • Elke doorgifte vereist een adequate rechtsgrond en transparantie
    • Doorgifte buiten de EER vereist aanvullende waarborgen (artikelen 44-50 GDPR)
  4. Gebruik voor trainingsdoeleinden:
    • Verzamelde gegevens worden vaak gebruikt om AI-modellen te trainen
    • Hiervoor is expliciete toestemming nodig, tenzij de gegevens volledig zijn geanonimiseerd
    • Pseudonimisering alleen is onvoldoende om buiten het GDPR-kader te vallen
  5. Bewaartermijnen en verwijdering:
    • Gegevens mogen niet langer worden bewaard dan noodzakelijk voor het beoogde doel (artikel 5(1)(e) GDPR)
    • Duidelijke bewaartermijnen moeten worden vastgesteld en gecommuniceerd
    • Er moeten procedurele en technische maatregelen zijn voor effectieve verwijdering
  6. Rechten van betrokkenen:
    • Gebruikers hebben recht op toegang, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar (artikelen 15-21 GDPR)
    • Deze rechten moeten effectief kunnen worden uitgeoefend, ook met betrekking tot gegevens verwerkt door AI-systemen

Belangrijk is dat veel AI-providers standaard conversatiegegevens gebruiken voor het trainen van hun modellen. Bij het gebruik van AI-systemen van derde partijen dient men zich bewust te zijn van de wijze waarop gebruikersgegevens worden verwerkt en opgeslagen. De inzet van deze systemen vereist aandacht voor de juiste rechtsgrond voor gegevensverwerking en transparantie naar betrokkenen.

Wat omvat het inzagerecht van gebruikers bij gegevensverwerking door AI-applicaties?

Het inzagerecht is een fundamenteel recht onder de GDPR (artikel 15) en heeft specifieke implicaties voor het gebruik van AI Chatbots en Agents:

  1. Omvang van het inzagerecht: Betrokkenen hebben het recht om:
    • Te weten of hun persoonsgegevens worden verwerkt
    • Toegang te krijgen tot deze persoonsgegevens
    • Informatie te ontvangen over verwerkingsdoeleinden, categorieën gegevens, ontvangers, bewaartermijnen, rechten, en de herkomst van de gegevens
    • Informatie te krijgen over geautomatiseerde besluitvorming, inclusief de onderliggende logica
  2. Praktische implementatie voor AI-systemen:
    • Zorg voor een systeem dat alle persoonsgegevens verzameld door de AI kan identificeren en extraheren
    • Documenteer welke gegevens worden gebruikt voor welke doeleinden
    • Implementeer processen om inzageverzoeken binnen de wettelijke termijn van één maand te behandelen
    • Ontwikkel methoden om inzicht te geven in de logica achter geautomatiseerde besluitvorming
  3. Technische uitdagingen:
    • Bij complexe AI-systemen kan het moeilijk zijn om precies te bepalen welke gegevens hebben bijgedragen aan een specifiek resultaat
    • Data kan verspreid zijn over verschillende systemen en databases
    • Voor deep learning-modellen kan het uitleggen van de “onderliggende logica” technisch complex zijn
  4. Aanbevolen maatregelen:
    • Zorg voor uitgebreide logging van alle interacties met de AI
    • Ontwikkel gebruiksvriendelijke interfaces voor inzageverzoeken
    • Train personeel in het correct afhandelen van inzageverzoeken
    • Implementeer technische oplossingen voor “explainable AI” om besluitvorming transparanter te maken
  5. Beperkingen van het inzagerecht:
    • Bedrijfsgeheimen of intellectuele eigendom beschermen de onderliggende algoritmes
    • Dit ontslaat ondernemingen echter niet van de plicht om zinvolle informatie te verstrekken over de verwerkingslogica (zie Hof van Justitie 27 februari 2025 C-203/22)
    • Er moet een balans worden gevonden tussen transparantie en bescherming van legitieme bedrijfsbelangen

Voorbeeld: Een financiële instelling die een AI Chatbot gebruikte voor initiële kredietbeoordeling krijgt een inzageverzoek van een afgewezen klant. Na een klacht bij de Gegevensbeschermingsautoriteit zou de instelling kunnen verplicht worden om (i) een volledige kopie van alle verzamelde persoonsgegevens te verstrekken, (ii) gedetailleerde informatie te geven over de factoren die tot de afwijzing hadden geleid en (iii) inzicht te bieden in de weging van verschillende criteria in het besluitvormingsproces. Het volstaat niet om enkel de uitkomst van een AI-beslissing mee te delen; er moet betekenisvolle informatie worden verstrekt over het “waarom” en “hoe” van de beslissing.

Welke cybersecurity-risico’s vormen de grootste bedreiging bij de inzet van conversationele AI-technologieën?

De inzet van AI Chatbots en Agents introduceert specifieke cybersecurity-risico’s die adequate beschermingsmaatregelen vereisen:

  1. Prompt injection attacks:
    • Aanvallers kunnen zorgvuldig ontworpen prompts gebruiken om de AI te manipuleren
    • Dit kan leiden tot het onbedoeld vrijgeven van gevoelige informatie of het omzeilen van beveiligingsmaatregelen
    • Beschermingsmaatregelen omvatten input-validatie, rate-limiting, en robuuste filtering van prompts
  2. Data poisoning:
    • Kwaadwillenden kunnen trainingsgegevens manipuleren om het gedrag van de AI te beïnvloeden
    • Dit risico is bijzonder relevant wanneer gebruikersinteracties worden gebruikt voor doorlopende training
    • Implementeer zorgvuldige validatie van trainingsgegevens en monitor ongewone patronen
  3. Model extraction attacks:
    • Aanvallers kunnen systematische queries uitvoeren om de functionaliteit van de AI te repliceren
    • Dit kan leiden tot inbreuken op intellectuele eigendomsrechten of het ontdekken van exploiteerbare zwakheden
    • Bescherm tegen deze aanvallen door het gebruik van rate-limiting en detectie van verdachte patronen
  4. Data leakage:
    • AI-systemen kunnen onbedoeld gevoelige informatie uit trainingsgegevens onthullen
    • Het risico op datalekken wordt vergroot wanneer de AI toegang heeft tot interne databases of systemen
    • Implementeer strenge toegangscontroles en zorg ervoor dat gevoelige gegevens worden herkend en beschermd
  5. Adversarial attacks:
    • Geavanceerde aanvalstechnieken kunnen AI-systemen misleiden door inputs licht te wijzigen
    • Dit kan leiden tot onjuiste classificaties of ongewenst gedrag
    • Verhoog de robuustheid van het systeem door adversarial training en regelmatige beveiligingsaudits
  6. Infrastructurele kwetsbaarheden:
    • De infrastructuur waarop AI-systemen draaien kan kwetsbaarheden bevatten
    • Traditionele aanvalsroutes zoals SQL-injectie of cross-site scripting blijven relevant
    • Zorg voor regelmatige updates, patch management, en penetratietesten

Voor een breder begrip van het juridische kader rond cybersecurity, kunt u ook onze pagina’s over NIS2 en cyberbeveiliging raadplegen.

Intellectuele eigendomsrechten

De kwestie van intellectuele eigendomsrechten op door AI gecreëerde content is complex en evolueert nog steeds:

  1. Auteursrechtelijke status van AI-gegenereerde werken:
  2. Toerekening van rechten bij gemengde creaties:
    • Wanneer een AI Chatbot content produceert onder substantiële menselijke sturing, kunnen auteursrechten ontstaan
    • In commerciële contexten rijst de vraag: wie is de rechthebbende?
      • De persoon die de prompts heeft opgesteld?
      • De onderneming die de AI implementeert?
      • De ontwikkelaar van de AI?
    • Contractuele bepalingen zijn essentieel om deze kwesties te verduidelijken
  3. Praktische implicaties voor ondernemingen:
    • Documenteer de menselijke inbreng in het creatieproces
    • Neem duidelijke bepalingen op in gebruiksvoorwaarden over de eigendom van door de AI gegenereerde content
    • Overweeg licentie-overeenkomsten voor het gebruik van door klanten gegenereerde prompts
    • Controleer voorwaarden van AI-providers betreffende eigendomsrechten
  4. Risico’s van inbreuk door AI-systemen:
    • AI-systemen getraind op beschermde werken kunnen onbedoeld inbreuk maken op auteursrechten
    • Implementeer mechanismen om potentiële inbreuken te detecteren
    • Overweeg vrijwaringsclausules in contracten met AI-providers
    • Zorg voor een responsprocedure bij claims van rechthebbenden
  5. Bescherming van bedrijfseigen AI-implementaties:
    • Overweeg bescherming via:
      • Octrooirecht (voor technische innovaties in de implementatie)
      • Bedrijfsgeheimen (voor unieke prompts, configuraties en trainingsmethoden)
      • Merkenrecht (voor de naam en het visuele aspect van de AI)
      • Databankenrecht (voor gestructureerde verzamelingen van trainingsgegevens)

Voorbeeld: Een Belgisch marketingbedrijf zet een AI Chatbot in om gepersonaliseerde marketingteksten te genereren. Als een klant vervolgens eigendomsrechten zou claimen op de gegenereerde content, met het argument dat deze was gebaseerd op zijn specifieke prompts en bedrijfsinformatie, zou dit kunnen leiden tot een juridisch geschil. In zo’n hypothetisch scenario zou een rechtbank mogelijk kunnen oordelen dat:

  • De gegenereerde content niet volledig auteursrechtelijk beschermd is
  • De unieke combinatie van prompts en bedrijfsinformatie mogelijk een originele intellectuele creatie vormt
  • De gebruiksvoorwaarden van het marketingbedrijf, indien deze het eigendom van alle outputs claimen, doorslaggevend kunnen zijn

Dit hypothetische scenario onderstreept het belang van duidelijke contractuele bepalingen over eigendomsrechten, vooral in contexten waar klanten substantiële input leveren aan het creatieproces.

Conclusie

Het gebruik van AI Chatbots en AI Agents biedt aanzienlijke kansen voor ondernemingen, maar brengt ook complexe juridische uitdagingen met zich mee. Een proactieve aanpak is essentieel om risico’s te beperken en compliance te waarborgen.

Om de inzet van deze technologieën juridisch te optimaliseren, adviseren wij:

  1. Een grondige juridische risicoanalyse voorafgaand aan implementatie
  2. Op maat gemaakte gebruiksvoorwaarden en privacyverklaringen
  3. Contractuele bescherming in relaties met AI-providers
  4. Robuuste technische en organisatorische maatregelen om aansprakelijkheid te beperken
  5. Regelmatige audits en updates om compliance met evoluerende wetgeving te waarborgen

Onze advocaten hebben een uitgebreide ervaring met het juridisch begeleiden van AI-implementaties in diverse sectoren. We bieden ondersteuning bij elke fase, van initiële compliance-analyse tot het opstellen van juridische documentatie en het beheren van incidenten.

Vragen over AI chatbots of AI Agents? Contacteer onze advocaten gespecialiseerd in AI Recht

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics