Stel je voor: een digitaal hulpje dat zélf je boodschappen bestelt, festival tickets regelt of een vakantie voor je boekt, zonder dat jij nog iets hoeft aan te klikken. Klinkt handig? Of ook een beetje eng?
Dit soort toepassingen zijn mogelijk door de opkomst van de zogenaamde ‘AI-agent’ - misschien wel de grootste hype in het AI-landschap van 2025. Anders dan bestaande AI-systemen, die vooral goed kunnen ‘denken’, beschikt een AI-agent niet alleen over een kunstmatig brein, maar ook over kunstmatige armen. Ze zijn niet beperkt tot suggesties, maar kunnen helemaal zelfstandig betalingen uitvoeren, vergunningen aanvragen en contracten afsluiten. Niet voor niets worden ze ook wel beschreven als ‘de collega die geen koffiepauzes neemt’.
Niet iedereen zit echter op dit soort agents te wachten. Zo kunnen onbewuste interacties met agents tot ongewenste overeenkomsten leiden. Wij schreven er eerder deze blog over. Om deze risico’s te beperken, verplichten verschillende wetten om helder te communiceren over het gebruik van AI-agents. Maar hoe voldoe je aan deze plicht, en wat als je dit niet (goed) doet? In deze blog leggen we het je uit.
Volgens het Burgerlijk Wetboek (art. 6:227b-c en art. 3:15d BW) en de e-Commerce Richtlijn (art. 10) moeten consumenten vóór het sluiten van een overeenkomst geïnformeerd worden over essentiële zaken zoals de identiteit van de wederpartij en de wijze waarop de overeenkomst tot stand komt. Gebruik je een AI-agent die zelfstandig onderhandelt, dan moet het consumenten vooraf expliciet duidelijk worden gemaakt dat zij niet met een mens, maar met een AI-agent communiceren. Dat kan via een melding als: "U praat nu met onze virtuele AI-agent."
Door tools zoals OpenAI’s Operator kunnen consumenten straks ook zélf gebruikmaken van agents, die in hun naam volledig automatisch boodschappen of festivaltickets kunnen bestellen. Deze agents kunnen richting de consument aan de informatieplicht voldoen via een real-time schermopname waar zij laten zien welke producten worden aangeschaft en hoe het bestelproces verloopt. De consumenten zelf hebben richting de derde aanbieders geen plicht om kenbaar te maken dat een AI-agent namens hen optreedt.
Artikel 50 van de AI Act stelt transparantieverplichtingen voor verschillende AI-systemen, waaronder AI-systemen die direct met natuurlijke personen interageren. Directe interactie kan verschillende vormen aannemen: denk aan chatbots en spraakassistenten, maar ook aan agents die zelfstandig e-mailen met hoteleigenaren. Net als bij het BW is deze informatieplicht gekoppeld aan het moment van interactie. De betrokkene moet vóór het gesprek al weten dat hij niet met een mens, maar met een agent communiceert.
Deze informatieplicht geldt echter niet als het overduidelijk niét om een mens gaat. Een voorbeeld daarvan is een AI-agent - 'Chatbot Alex' - die gestandaardiseerde antwoorden geeft op veelgestelde vragen. Hier mag je aannemen dat de klant kan opmaken dat het geen mens is. Bij agents die automatisch tickets of hotelboekingen regelen door e-mails te sturen, merken betrokkenen echter niet altijd dat ze met een bot te maken hebben. In dergelijke gevallen gaat deze uitzondering niet op en moet de agent haar kunstmatige aard kenbaar maken.
Ook onder de Algemene verordening gegevens bescherming (‘AVG’) bestaat een informatieplicht, die verschilt afhankelijk van de manier waarop de gegevens worden verzameld en verwerkt; direct of indirect.
Als je persoonsgegevens direct bij betrokkenen verzamelt (bijvoorbeeld via chatbots die bestellingen afnemen), ben je op basis van artikel 13 AVG verplicht om direct duidelijke informatie te geven over, onder andere:
In de meeste gevallen kan de verwerkingsverantwoordelijke aan de informatieplicht voldoen via een duidelijke link naar de privacyverklaring. Een chatbot voor het verwerken van bestellingen kan bijvoorbeeld het volgende vermelden: “Bekijk onze privacyverklaring voor meer informatie over hoe wij omgaan met uw gegevens.” De informatie moet wel direct bij de verkrijging van de persoonsgegevens met de betrokkenen worden gedeeld. De enkele aanwezigheid van een privacyverklaring zonder link in de chat voldoet daar niet aan.
Als de verwerkingsverantwoordelijke de verzamelde gegevens ook voor nieuwe verwerkingsdoeleinden wil verwerken, moet de betrokkene vóór die verdere verwerking naast de privacyverklaring ook informatie krijgen over dat andere doel. Denk aan een melding zoals: “Dit gesprek wordt (gedeeltelijk) gebruikt voor trainingsdoeleinden.” Voor zo’n nieuwe verwerking is ook een afzonderlijke rechtsgrond vereist. Als daarbij expliciete toestemming nodig is — bijvoorbeeld bij de verwerking van bijzondere persoonsgegevens — moet de melding niet alleen informeren, maar ook expliciet om toestemming vragen.
De AVG vereist echter niet dat je dezelfde melding bij elke herhaalde verwerking opnieuw geeft, zolang het doel niet verandert en de betrokkene eerder adequaat is geïnformeerd. Zo hoeft een chatbot niet bij elk bericht te herhalen dat de gesprekken voor trainingsdoeleinden worden bewaard en hoeft een boodschappen-agent niet bij elke bestelling te melden dat de creditcardgegevens van de consument zijn gebruikt.
Als jouw AI-agent persoonsgegevens indirect verzamelt – zoals via het scrapen van websites – geldt de informatieplicht van de AVG op basis van artikel 14. Naast de gegevens genoemd bij artikel 13, moet je bij artikel 14 ook informeren over de databron en de soorten persoonsgegevens. Daarbij geldt een termijn van maximaal één maand na de verzameling. Er bestaan echter uitzonderingen op deze informatieplicht, bijvoorbeeld als het individueel informeren onmogelijk is of onevenredig veel moeite kost. Door de hoeveelheid verschillende betrokkenen en persoonsgegevens zal daar bij scraping snel sprake van zijn. In die gevallen volstaat een openbaar gepubliceerde en duidelijk toegankelijke privacyverklaring.
In andere situaties is deze uitzondering niet per se van toepassing. Denk aan een agent van een verzekeraar die premies berekent op basis van schadeclaims uit externe databronnen. Het is hier niet onevenredig om de betrokkenen daar persoonlijk over te informeren, bijvoorbeeld via een e-mail of brief. De agent moet dit op het eerste contactmoment of binnen één maand na het verzamelen van de gegevens kenbaar maken.
Het niet-naleven van de informatieplichten kan ongewenste juridische gevolgen hebben. In de eerste plaats loop je natuurlijk het risico op boetes en andere sancties bij een overtreding van de wet. Verder kan een ondoorzichtige inzet van agents tot aansprakelijkheidskwesties leiden, bijvoorbeeld als zij risicovolle financiële beslissingen nemen zonder hun klanten daarover te informeren. Ten slotte kan dit alles naast materiële schade ook leiden tot een ernstig verlies van klantvertrouwen.
AI-agents beloven ons leven nóg makkelijker maken, maar kunnen ook bijdragen aan de verdere vervaging tussen mens en machine. Verschillende wetten – van het BW tot de AI Act en AVG – vereisen daarom heldere communicatie bij het gebruik van AI-agents. Het niet-naleven van deze plicht kan leiden tot aansprakelijkheidskwesties, reputatieschade en boetes voor non-compliance. Bij de inzet van AI-agents zijn er, al met al, meer dan voldoende redenen om heldere en transparante informatie te bieden.
Maakt jouw organisatie gebruik van AI? Zorg dat je juridisch op het juiste spoor zit. Wij helpen je graag! Neem vrijblijvend contact op om de mogelijkheden te ontdekken.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.