​Bij ons juridisch advieskantoor Leagl zijn we zelf volop bezig met AI. We bouwen er tools mee, automatiseren ermee en testen wat er mogelijk is. En we geloven echt dat regels innovatie niet mogen dwarsbomen. Een ondernemer die AI inzet om sneller en slimmer te werken, doet precies wat van hem verwacht wordt.

Als ondernemer denk ik er zo over, als juridisch expert zie ik het toch wat anders.

Want er zijn spelregels. De EU AI Act is van kracht, de GDPR is al jaren geldend recht, en de vraag wie er aansprakelijk is voor AI-fouten is allang niet meer hypothetisch. Die nuance mag niet verdwijnen in het enthousiasme.

AI inzetten? Prima. Maar zonder duidelijke interne afspraken over data, gebruik en aansprakelijkheid bouw je op een juridisch vacuüm. En dat vacuüm vult zich vroeg of laat, maar zelden op een manier die jou uitkomt. Herman Bogaerts, LEAGL

Waar loopt het dikwijls fout?

De drie meest voorkomende blinde vlekken zijn de volgende:

1. Vertrouwelijke data in publieke tools. Medewerkers plakken klantendata, contracten of interne documenten in ChatGPT, Claude of vergelijkbare tools. Die data kan gebruikt worden voor modeltraining. Is dat GDPR-conform? In de meeste gevallen: neen.

2. Geen aansprakelijkheidskader. Als een AI-gegenereerde tekst een fout bevat die schade veroorzaakt, wie draagt dan de verantwoordelijkheid? De tool? De medewerker? Het bedrijf? Zonder beleid is het antwoord altijd: het bedrijf.

3. Geen interne AI-policy. Medewerkers gebruiken tools naar eigen goeddunken, zonder richtlijnen over wat mag en wat niet. Dat is geen vertrouwen, dat is het ontbreken van governance.

Stel jezelf deze drie vragen.

1. Weten mijn medewerkers welke data ze wel en niet mogen invoeren in AI-tools?
2. Staat er ergens beschreven wie verantwoordelijk is bij een fout of datalek via AI?
3. Hebben we als bedrijf ooit nagedacht over onze AI-gebruiksregels?

Als het antwoord op één van deze vragen neen is, is er werk aan de winkel.

Je hoeft AI niet te verbieden. Maar je moet weten wat je toelaat, en dat vastleggen. Een eenvoudige interne policy volstaat al om de grootste risico's af te dekken. Herman Bogaerts, LEAGL

Wat kan je doen?

Begin klein. Een intern document met duidelijke richtlijnen over welke tools gebruikt mogen worden, welke data niet gedeeld mag worden en wie verantwoordelijk is bij problemen, geeft al een stevige juridische basis.

De AI Act verplicht bovendien bepaalde categorieën van bedrijven tot expliciete risicobeoordelingen. Weet jij in welke categorie jij valt?

Als je niet zeker bent of jouw gebruik van AI GDPR-conform en AI Act-proof is, laat het dan zeker nakijken. Zo voorkom je stress en juridische kosten.