De Europese Commissie heeft twee voorstellen gepresenteerd die fabrikanten aansprakelijk maken voor schade veroorzaakt door kunstmatige intelligentie (AI) of door gebrekkige updates, of het niet verhelpen van kwetsbaarheden in hun producten. Dat meldde Security.nl onlangs. Het gaat om revisies van de oude en bekende productaansprakelijkheid (art. 6:185 BW), waarmee naast de fabrikant ook de Europese importeur en de verkoper aansprakelijk gehouden kunnen worden als dat handiger uitkomt, en de ACM kan dan toezicht houden.
In augustus hadden we een vergelijkbare discussies over het VK dat zelfrijdende auto’s onder deze constructie wil brengen. De EU pakt het dus gelijk breed aan: alle producten, wat logisch is gezien de huidige Richtlijn ook gewoon van ‘produkten’ (sorry Ruud, in 1985 was het met een k) spreekt. Het voorstel hanteert dezelfde structuur; de fabrikant of Europese importeur moet opdraaien voor de schade van gebrekkige producten, en een product is gebrekkig als het onveilig is, waarbij zaken als de presentatie, handleiding en redelijk te voorziene gebruik zwaar wegen.
Een nieuwe factor is deze:
the effect on the product of any ability to continue to learn after deployment;Dit is een typische AI-situatie: het systeem heeft bijgeleerd of is van een update voorzien waardoor het nieuw gedrag vertoont. Dat kan gebrekkig zijn, en natuurlijk moet dat meetellen in de aansprakelijkheid. Maar verder noemt deze Richtlijn geen expliciete AI-regels. Dat hoeft ook niet, want als de aparte Europese AI Act er door komt, gaat het vanzelf goed: een AI die die wet overtreedt, is per definitie ‘gebrekkig’ en de leverancier of gebruiker (het bedrijf dat het inzet dus) daarvan is dan aansprakelijk jegens de personen die schade lijden.
Ook voor cybersecurity is er weinig tekst, maar wat er is, is wel precies wat nodig is:
product safety requirements, including safety-relevant cybersecurity requirements;Er komt andere regelgeving die uitwerkt wat dat precies gaan zijn. Maar hier staat alvast “als je je er niet aan houdt, ben je aansprakelijk voor de gevolgen”. En dat maakt dus dat updates en basisprincipes voor veilige software ineens juridisch van belang gaan worden.
Een lastig punt is de bewijslast. De hoofdregel is en blijft dat de persoon die schade claimt, moet bewijzen dat dit door het product komt. Dat is logisch, maar wel lastig want als eenling heb je de middelen niet om vast te stellen of een stofje giftig is, een AI bevooroordeeld of een router kwetsbaar voor een of andere zeroday. Daarom introduceert de Richtlijn een soort-van nieuw concept: als de klager aannemelijk kan maken dat de schade door het product komt, dan moet de leverancier met relevant bewijs komen hoe het apparaat op dat punt werkt. Doet hij dat niet, dan is hij automatisch aansprakelijk voor de schade. De rechtbank moet zaken als bedrijfsgeheimen wel met gepaste bescherming toelaten.
Wie nu denkt, dat gaan ze in de kleine lettertjes meteen dichttimmeren (“Geen honden in de magnetron”), dat gaat niet werken: de regels over aansprakelijkheid zijn van dwingend recht.
Arnoud
“een product is gebrekkig als het onveilig is, waarbij zaken als de presentatie, handleiding en redelijk te voorziene gebruik zwaar wegen.” “een AI die die wet overtreedt, is per definitie ‘gebrekkig’ “
Volgens de wet mag je geen verkeersovertredingen begaan. Om controle te houden over zelfrijdende / autopiloot auto’s zeggen ze allemaal dat je je handen op het stuur moet houden en op moet blijven letten.
Even buiten beschouwing latende dat sommige mensen door de marketing termen denken dat de huidige Tesla’s al volledig autonoom kunnen rijden. Hoe is de interactie tussen de huidige zelfrijdende auto’s en deze regels? Aan de ene kant kunnen ze heel snel een overtreding begaan (een andere auto raken bij het inparkeren, een tijdelijke verkeerssituatie verkeerd begrijpen, etc). Aan de andere kant is het systeem zo ingericht dat je met je handen op het stuur moet houden en op moet blijven letten. De verwachting is dan bij mij gewekt dat de auto nog niet perfect is en fouten (e.g. verkeersovertredingen) kan maken. Zijn al deze auto’s dan gebrekkig?
De communicatie dat de auto fouten kan maken en dat je klaar moet staan om in te grijpen, zou zwaar moeten wegen, maar even verder zeg je dat een wetsovertreding per definitie gebrekkig is.
Ik zou ‘gebrekkig’ lezen als synoniem voor “aansprakelijk voor de gevolgen”. Gebrekkig betekent niet “moet van de weg” of “moet dagelijks 100 euro betalen”. Het betekent alleen dat je automatisch opdraait voor alle schade die door het gebrek veroorzaakt wordt. Dat kan letselschade zijn maar ook een aangetikt paaltje moeten vergoeden.
Deze wet zegt niets over handen op het stuur of zelfs maar hoe veel seconden er moeten zitten tussen automatische en menselijke macht. Dat is allemaal bewijsproblematiek: waar zat de fout, was dat een zelfrijdende storing of een nalatig menselijk ingrijpen. Maar vast staat wel dat enkel een disclaimer “Zelfrijdende auto level 5 maar u moet altijd handen aan het stuur houden en altijd in kunnen grijpen” niet gaat werken.