Een lezer vroeg me:
Met enige regelmaat lees je over AI agents die destructief handelen, zoals dit verhaal over een AI-agent die op eigen houtje een productiedatabase van een startup verwijdert. Nu vroeg ik me af, kun je die schade verhalen op de leverancier die dat kennelijk zonder kwaliteitscontrole inbouwt? En maakt het daarbij uit dat het AI-model zelf een analyse oplepelt inclusief schuldbekentenis?
Als een menselijke systeembeheerder of programmeur data vernielt, kun je ze als bedrijf op het matje roepen. Maar bij een slecht geprogrammeerd stuk software ligt dat lastiger. Je komt dan al snel uit bij de leverancier, maar die heeft zich in de zakelijke relatie waarschijnlijk ingedekt tegen fouten met een sterke beperking van aansprakelijkheid.
Dat de medewerker schuld bekent, is bij mensen niet heel erg relevant. Fout is fout, en alleen als de bekentenis is “dit deed ik om jullie te beschadigen” dan wordt het juridisch interessant. Want dan spreken we van opzet of bewuste roekeloosheid en dan kun je die beperking van aansprakelijkheid omzeilen.
Alleen: een AI-agent is geen medewerker, en ook daarmee niet te vergelijken. Het is een tool, een stuk software. Weliswaar is de interface “gewoon Nederlands praten” en gebruikt het ding ik en jij in de communicatie, maar juridisch is er geen verschil tussen een shellscript en het meest geavanceerde frontier AI model. Het kan fouten bevatten, en als het de leverancier zijn schuld is dan stuit dat af op de beperking van aansprakelijkheid.
Er is enige discussie of het statistische karakter van deze diensten nog uit moet maken. Een shellscript of ander klassiek stuk software doet wat je zegt, keer op keer. Een AI-agent kan zomaar andere resultaten geven bij dezelfde instructie en dezelfde data. Dat is inherent aan hoe ze zijn gemaakt, en je kunt verdedigen dat dit eerder tot verwijtbaarheid bij de leverancier leidt. Tegelijkertijd: als dit inherent is, is dat ook iets dat jij als koper had moeten weten.
Arnoud
