Pixel-mixer / Pixabay
De Europese Commissie heeft twee voorstellen gepresenteerd die fabrikanten aansprakelijk maken voor schade veroorzaakt door kunstmatige intelligentie (AI) of door gebrekkige updates, of het niet verhelpen van kwetsbaarheden in hun producten. Dat meldde Security.nl onlangs. Het gaat om revisies van de oude en bekende productaansprakelijkheid (art. 6:185 BW), waarmee naast de fabrikant ook de Europese importeur en de verkoper aansprakelijk gehouden kunnen worden als dat handiger uitkomt, en de ACM kan dan toezicht houden.
In augustus hadden we een vergelijkbare discussies over het VK dat zelfrijdende auto’s onder deze constructie wil brengen. De EU pakt het dus gelijk breed aan: alle producten, wat logisch is gezien de huidige Richtlijn ook gewoon van ‘produkten’ (sorry Ruud, in 1985 was het met een k) spreekt. Het voorstel hanteert dezelfde structuur; de fabrikant of Europese importeur moet opdraaien voor de schade van gebrekkige producten, en een product is gebrekkig als het onveilig is, waarbij zaken als de presentatie, handleiding en redelijk te voorziene gebruik zwaar wegen.
Een nieuwe factor is deze:
the effect on the product of any ability to continue to learn after deployment;
Dit is een typische AI-situatie: het systeem heeft bijgeleerd of is van een update voorzien waardoor het nieuw gedrag vertoont. Dat kan gebrekkig zijn, en natuurlijk moet dat meetellen in de aansprakelijkheid. Maar verder noemt deze Richtlijn geen expliciete AI-regels. Dat hoeft ook niet, want als de aparte Europese AI Act er door komt, gaat het vanzelf goed: een AI die die wet overtreedt, is per definitie ‘gebrekkig’ en de leverancier of gebruiker (het bedrijf dat het inzet dus) daarvan is dan aansprakelijk jegens de personen die schade lijden.
Ook voor cybersecurity is er weinig tekst, maar wat er is, is wel precies wat nodig is:
product safety requirements, including safety-relevant cybersecurity requirements;
Er komt andere regelgeving die uitwerkt wat dat precies gaan zijn. Maar hier staat alvast “als je je er niet aan houdt, ben je aansprakelijk voor de gevolgen”. En dat maakt dus dat updates en basisprincipes voor veilige software ineens juridisch van belang gaan worden.
Een lastig punt is de bewijslast. De hoofdregel is en blijft dat de persoon die schade claimt, moet bewijzen dat dit door het product komt. Dat is logisch, maar wel lastig want als eenling heb je de middelen niet om vast te stellen of een stofje giftig is, een AI bevooroordeeld of een router kwetsbaar voor een of andere zeroday. Daarom introduceert de Richtlijn een soort-van nieuw concept: als de klager aannemelijk kan maken dat de schade door het product komt, dan moet de leverancier met relevant bewijs komen hoe het apparaat op dat punt werkt. Doet hij dat niet, dan is hij automatisch aansprakelijk voor de schade. De rechtbank moet zaken als bedrijfsgeheimen wel met gepaste bescherming toelaten.
Wie nu denkt, dat gaan ze in de kleine lettertjes meteen dichttimmeren (“Geen honden in de magnetron”), dat gaat niet werken: de regels over aansprakelijkheid zijn van dwingend recht.
Arnoud
