De opkomst van AI agents verandert hoe wij werken, communiceren en zakendoen. Deze AI-systemen, ontworpen om autonoom taken uit te voeren namens mensen of organisaties, brengen ons mogelijk op onbekend juridisch terrein. Daarnaast roepen ze vragen op ten aanzien van risicobeheer.
In deze blog neem ik je mee in de uiteenlopende uitdagingen van de inzet van AI agents en geef ik twee belangrijke stappen die je kunt ondernemen om AI agents van derden te kaderen en jouw risico’s bij de inzet van AI agents te beperken. Daarbij zal ik je meenemen in onze gratis AI Agent Policy Generator.
Uitdagingen rondom AI agents
Ons huidige wet- en regelgeving is gebouwd op basisbegrippen als transparantie, rechtspersoonlijkheid, wilsovereenstemming en toerekenbaarheid. Deze begrippen worden wat vaag als het gaat om AI agents. Hierdoor kan een vacuüm ontstaan waarin organisaties opereren met AI agents zonder duidelijke kaders te stellen en zonder effectief plan.
Beheer van data
AI agents kunnen net als ieder ander AI-systeem niet functioneren zonder data. Ze verzamelen, verwerken en genereren informatie op ongekende schaal. Het verzamelen gebeurt veelal met behulp van doortastende webscraping methoden. Dit roept een aantal fundamentele juridische vragen op:
- Crawling en scraping: Mogen AI agents of andere bots zonder toestemming jouw website(s) en systemen doorzoeken en data verzamelen?
- Intellectueel eigendom: Wanneer een AI agent content van derden verzamelt en gebruikt, is dit dan rechtmatig? Is er sprake van inbreuk op auteursrechten of databankenrecht? Kan je ‘tekst- en datamining’ (“TDM”) tegengaan?
- Privacy en bescherming van persoonsgegevens: Hoe verhouden AI agents zich tot de AVG-beginselen zoals: rechtmatigheid van de verwerking, doelbinding en dataminimalisatie? Als een AI agent onrechtmatig persoonsgegevens gebruikt, wie is dan verantwoordelijk voor deze overtreding?
Het transparantievraagstuk
Een tweede probleem bij AI Agents is transparantie. Mijn collega David belicht dit in zijn blog "Transparantie bij AI agents: wanneer, waarom en hoe". Hij stelt de vraag: heeft een persoon het recht om te weten of ze met een AI of een mens communiceert? Dit is niet alleen een ethische kwestie maar raakt aan fundamentele rechten van personen en verplichtingen op basis van Europese en nationale wet- en regelgeving.
De AI Act benadrukt bijvoorbeeld specifieke transparantievereisten voor AI-systemen die direct interacteren met mensen, maar de praktische implementatie hiervan blijft momenteel een uitdaging.
Wilsovereenstemming en vertegenwoordigingsbevoegdheid
Kan een AI agent als vertegenwoordiger optreden? Mijn collega Jade beschrijft dit in haar blog "Is een overeenkomst met een AI agent juridisch bindend?". Een AI agent heeft geen rechtspersoonlijkheid, maar handelt wel namens een persoon of rechtspersoon. Dit raakt aan fundamentele begrippen zoals de wilsvertrouwensleer, onbevoegde vertegenwoordiging en toerekenbare schijn.
Compliance
De inzet van AI agents brengt diverse compliance-uitdagingen met zich mee, die verder gaan dan de eerdergenoemde transparantieverplichtingen. Vooral binnen de kaders van de AI Act en andere relevante Europese wet- en regelgeving.
De AI Act heeft een risico-gebaseerde aanpak, wat inhoudt dat verplichtingen voor AI-systemen worden afgestemd op het niveau van risico dat een systeem vormt voor de gezondheid, veiligheid of fundamentele rechten van personen. AI-systemen die onaanvaardbare risico’s vormen, zoals manipulatie van gedrag, zijn zelfs volledig verboden.
In de praktijk kan het lastig zijn om general-purpose AI agents goed te classificeren, zeker wanneer hun toepassingsgebied per context kan veranderen. Het is echter wel belangrijk om je te realiseren dat het inzetten van een AI agent - die binnen de wettelijke lijst van Bijlage I of de use cases van Bijlage III van de AI Act valt - mogelijk geclassificeerd wordt als een hoog risico AI-systeem op basis van deze verordening.
Valt een AI-systeem onder ‘hoog risico’, dan gelden strengere verplichtingen, waaronder adequaat menselijke controle, waarborgen voor technische robuustheid en cybersecurity, data governance, logging, risico- en kwaliteitsbeheer, conformiteitsbeoordeling en CE-markering.
De AI Act is echter niet de enige wet- en regelgeving, want vergeet vooral de AVG niet. De bestaande regels voor het verwerken van persoonsgegevens en geautomatiseerde besluitvorming gelden ook voor AI agents. Daarnaast gaat compliance verder dan alleen wetgeving. AI agents kunnen mogelijk ook taken uitvoeren die niet in overeenstemming zijn met het interne beleid van de organisatie.
De behoefte aan een gestructureerde aanpak
De vele uitdagingen rondom de inzet van AI agents vragen om een doelgerichte en gestructureerde aanpak die verder gaat dan incidentele oplossingen en losse flodders.
Stap 1: Begin met de ‘juridische basishygiëne’
Voor organisaties die met AI agents te maken krijgen of deze zelf gaan inzetten is het cruciaal om met de basis te beginnen: het opstellen en communiceren van duidelijke grenzen voor AI agents en andere bots die met je organisatie mogen interacteren, of namens je organisatie handelen. Dit kan door middel van een (extern) beleidsdocument op de website of met specifieke algemene voorwaarden. Dit is de ‘juridische basishygiëne’ die elke organisatie aan de voorkant op orde moet hebben.
Deze documenten bevatten onder andere:
- Crawling en scraping: Je bepaalt welke data mag worden ingezien en verzameld. En, onder welke voorwaarden.
- Uitdrukkelijk auteursrechtvoorbehoud: Je bepaalt of TDM ten aanzien van jouw content wel/niet is toegestaan.
- Gebruik van persoonsgegevens: Je benadrukt of en welke persoonsgegevens op jouw website mogen worden gebruikt.
- Handelingsbevoegdheid: Je bepaalt welk type overeenkomsten AI agents wel/niet mogen sluiten namens een persoon of organisatie. En eventueel tot welk bedrag.
- Aansprakelijkheidsbeperking: Door het opnemen van een aansprakelijkheidsbeperking bepaal je in hoeverre je aansprakelijk bent voor foutieve handelingen van een AI agent.
Onze AI Agent Policy generator
Om organisaties te helpen met deze eerste stap, hebben wij een gratis AI Agent Policy Generator ontwikkeld, waarmee je eenvoudig een AI Agent Policy kunt genereren. Op basis van een korte vragenlijst wordt automatisch een document samengesteld dat specifiek ingaat op de hierboven genoemde onderwerpen. Je kunt dit document vervolgens publiceren op je website. Bijvoorbeeld op een vindbare plek, zoals de footer van je website en eventueel met een ‘clickwrap’ voor een uitdrukkelijke acceptatie door de gebruiker.
Het resultaat van onze generator is niet alleen een beleidsdocument. De bijlage van het document bevat ook instructies – op basis van jouw antwoorden - voor bots in een format dat bruikbaar is voor een robot.txt-bestand voor jouw website. Dit is wel zo handig, want een robot.txt-bestand is nog steeds de gangbare standaard om te communiceren met crawlers, scrapers, AI agents en andere soortgelijke bots.
Zijn de eerdergenoemde onderwerpen voor jou van essentieel belang? Overweeg dan om deze onderwerpen op te nemen in je algemene voorwaarden (die ter hand gesteld worden) en aanvullende technische maatregelen te nemen tegen scraping en TDM. Waar nodig helpt één van onze specialisten je graag bij het opstellen en de implementatie van dergelijke voorwaarden of een robot.txt-bestand.
Maar hoe zit het met de handhaving? Dit kan in de praktijk voor uitdagingen zorgen en is genoeg stof voor een volgende blog. Ik laat dit voor nu even buiten beschouwing.
Stap 2: Risico-gebaseerde governance implementeren
Nadat de eerste stap is gezet, is de volgende essentiële stap een risico-gebaseerde governance ten aanzien van AI agents te implementeren, waarbij:
- de context en toepassingsgebieden van de AI agent(s) voor jouw organisatie worden gedefinieerd (AI agents van derden en/of eigen AI agents);
- een doelgerichte risicoanalyse wordt uitgevoerd (inclusief compliancerisico’s);
- concrete technische en organisatorische beheersmaatregelen worden gedocumenteerd in een risicobehandelplan;
- de beheersmaatregelen effectief worden geïmplementeerd.
Deze doelgerichte aanpak binnen de specifieke context van de organisatie sluit goed aan bij de risico-gebaseerde benadering van onder andere de AI Act en zorgt voor concrete handvatten om de risico’s effectief te kunnen beheersen.
Heb je hulp nodig bij deze tweede stap? Neem dan gerust contact op met een van onze compliancespecialisten.
De weg voorwaarts
De opkomst van AI agents markeert weer een nieuw hoofdstuk in de digitale transformatie. Het is nog even afwachten hoe de functionaliteiten van AI agents de komende jaren ontwikkelen. Daarnaast is het van belang dat er universele technische standaarden worden ontwikkeld voor onder andere algemene opt-outs van auteursrechthebbenden voor TDM, die ook machine leesbaar en dwingend is voor bots.1
Het is echter essentieel dat organisaties nu al mee gaan groeien met alle ontwikkeling. Dit vraagt om bewustwording, praktische oplossingen en een proactieve aanpak van mogelijke risico’s. Alleen door deze elementen samen te brengen kunnen we zorgen dat AI agents op een verantwoorde wijze ingekaderd en ingezet worden, die recht doet aan zowel de innovatieve kracht als de maatschappelijke impact van deze technologie.
Zelf aan de slag?
Gebruik onze gratis AI Agent Policy Generator om direct een beleidsdocument en bijbehorend robots.txt-advies te maken. Doorloop de korte vragenlijst en download het gratis rapport.
AI Agent Policy Generator
1 De Europese Commissie heeft ook een aanbesteding uitgeschreven voor een haaldbaarheidsstudie naar een centraal register van opt-outs in het kader van de uitzondering voor TDM.
