Wie is verantwoordelijk als AI faalt?

De belofte van kunstmatige intelligentie is enorm, maar de realiteit van AI-incidenten laat zien hoe dun de grens is tussen innovatie en maatschappelijke schade. Van datalekken en deepfakes tot discriminerende algoritmes: de risico’s nemen toe naarmate AI-systemen dieper worden ingebed in onze digitale infrastructuur. De cruciale vraag is dan ook: wie draagt de verantwoordelijkheid wanneer AI faalt? Het nieuwe onderzoek Who Is Responsible When AI Fails? van Hilda Hadan en collega’s (2025) biedt een empirisch onderbouwd antwoord. De studie analyseerde 202 echte incidenten uit de praktijk en concludeert dat AI-falen zelden te herleiden is tot een enkel technisch defect, maar eerder voortkomt uit een web van menselijke, organisatorische en bestuurlijke tekortkomingen.

Een empirisch beeld van AI-falen

De onderzoekers van de Universiteit van Waterloo baseerden hun analyse op de AI, Algorithmic and Automation Incident and Controversy Repository (AIAAIC), het grootste publieke archief van AI-incidenten ter wereld. Op basis daarvan ontwikkelden zij een nieuwe taxonomie die de hele levenscyclus van AI beslaat: van dataverzameling en training tot implementatie, gebruik en communicatie met eindgebruikers. Deze empirische aanpak maakt duidelijk dat de meeste incidenten niet ontstaan in de fase waarin een algoritme wordt ontwikkeld, maar pas nadat het in de praktijk wordt ingezet. Vooral incidenten rond niet-consensuele beelden, deepfakes en misleidende content (39%) springen eruit. Daarnaast blijkt ongeautoriseerd hergebruik van gegevens voor AI-functies of training (30%) en problematische implementatie door organisaties zonder duidelijke waarborgen (15%) eveneens veelvuldig voor te komen.

Deze bevindingen tonen dat risico’s zich vooral manifesteren ná de technische oplevering, wanneer governance, toezicht en ethische kaders vaak ontbreken. De auteurs benadrukken dat slechts 14% van de onderzochte incidenten verband hield met de trainingsfase zelf, terwijl juist die fase doorgaans de meeste aandacht krijgt in regelgeving en publieke discussies. Daarmee verschuift het perspectief: niet alleen de ontwikkelaar of programmeur, maar juist de organisaties die AI inzetten dragen verantwoordelijkheid voor de gevolgen ervan. Dit inzicht onderstreept het belang van integrale risicobeheersing door de hele keten heen.

Oorzaken: van governance tot gebrek aan toezicht

De studie identificeerde dertien hoofdoorzaken van AI-incidenten, die variëren van technische fouten tot menselijke en organisatorische beslissingen. Slechts 12% van de incidenten had een puur technische oorzaak, zoals hallucinaties, inefficiëntie of systeemfouten. Daarentegen bleek 58% van de incidenten voort te komen uit organisatorische oorzaken, waaronder een gebrek aan transparantie, onduidelijke toestemmingsprocedures of bewuste overtreding van wetgeving. Ook menselijke factoren speelden een grote rol: in 34% van de gevallen lag de oorzaak in misbruik of overmatig vertrouwen in AI-systemen door gebruikers.

De onderzoekers wijzen erop dat veel incidenten verband houden met legal non-compliance (16%) en zwakke bedrijfsethiek (11%). Dat betekent dat organisaties AI inzetten ondanks bekende risico’s of zonder naleving van geldende normen, bijvoorbeeld bij onrechtmatige surveillance of onzorgvuldig datagebruik. Bovendien blijken wettelijke kaders vaak ontoereikend om complexe ketens van verantwoordelijkheid te reguleren. Daardoor blijft het moeilijk om vast te stellen wie precies aansprakelijk is als schade ontstaat. Het onderzoek toont dat juist die onduidelijkheid een systemisch risico vormt in de governance van kunstmatige intelligentie.

Verantwoordelijkheid is gedeeld

De centrale vraag van het onderzoek – wie is verantwoordelijk als AI faalt? – kent geen eenduidig antwoord. De auteurs onderscheiden zeven categorieën van betrokken partijen: ontwikkelaars, algoritmes, eindgebruikers, bedrijven, overheden, databeheerders en andere indirecte actoren. In 38% van de gevallen kon het incident worden toegeschreven aan ontwikkelaars of hun partners, vaak vanwege onduidelijke gebruiksvoorwaarden of het hergebruiken van gegevens zonder toestemming. Nog eens 29% betrof organisaties of overheidsinstanties die AI integreerden in hun processen zonder voldoende controlemechanismen.

Dit wijst op een diffuse verdeling van verantwoordelijkheden door de gehele AI-keten heen. Incidenten ontstaan niet door één enkel falend onderdeel, maar door een opeenstapeling van gebrekkige beslissingen en gebrekkige coördinatie. Daarmee verschuift het debat over aansprakelijkheid van de technische naar de bestuurlijke en juridische sfeer. AI-risico is, zoals de onderzoekers stellen, “lifecycle risk”: verantwoordelijkheid moet worden gedeeld door iedereen die betrokken is bij de ontwikkeling, implementatie en toepassing van het systeem. Voor juristen betekent dit dat de klassieke toerekeningsvraag – wie is aansprakelijk voor schade? – in het AI-tijdperk steeds vaker een collectieve dimensie krijgt.

Hoe incidenten aan het licht komen

Een opvallend aspect van het onderzoek is de manier waarop AI-incidenten openbaar worden. In 53% van de gevallen kwamen de incidenten niet naar buiten via de verantwoordelijke organisaties, maar via media, onderzoekers, slachtoffers of burgers. Slechts 6% van de gevallen werd vrijwillig gemeld door ontwikkelaars of gebruikersorganisaties. Dit illustreert een structureel gebrek aan transparantie in de AI-sector en een cultuur waarin fouten liever worden verzwegen dan gedeeld.

Ook de reactie op incidenten blijft beperkt. Slechts 37% van de geanalyseerde incidenten leidde tot juridische sancties, herstelmaatregelen of restricties op het gebruik van AI. In 55% van de gevallen bleef het bij publieke verontwaardiging, reputatieschade of politieke discussie. De auteurs waarschuwen dat deze asymmetrie – veel incidenten, weinig verantwoording – het vertrouwen in AI ondermijnt. Transparante rapportage en toezicht zijn daarom onmisbare pijlers voor verantwoord gebruik.

Van concrete schade tot maatschappelijke impact

De gevolgen van AI-falen variëren van persoonlijke schade tot collectieve maatschappelijke ontwrichting. In 45% van de onderzochte gevallen ervoeren individuen of groepen directe schade, zoals reputatieverlies, financiële schade of aantasting van de persoonlijke levenssfeer. Deepfakes, misidentificaties en datalekken hadden een diepgaande impact op autonomie en waardigheid. Tegelijkertijd manifesteerden veel incidenten zich op maatschappelijk niveau, bijvoorbeeld door het verspreiden van desinformatie, het versterken van polarisatie of het aantasten van vertrouwen in publieke instellingen.

In slechts een beperkt aantal gevallen (37%) volgden juridische of bestuurlijke sancties, terwijl het merendeel bleef steken in publieke kritiek. Volgens de auteurs is dat een teken dat regelgeving en toezicht nog onvoldoende zijn toegerust om de complexiteit van AI-schade te adresseren. Juridisch gezien wordt daardoor steeds duidelijker dat aansprakelijkheid niet alleen gaat over schadevergoeding, maar ook over preventie, governance en ethisch risicobeheer. Deze dimensie vraagt om nieuwe samenwerkingsvormen tussen technologische en juridische disciplines.

Beleidsmatige implicaties: governance als randvoorwaarde

De auteurs wijzen erop dat de bestaande Europese kaders, zoals de AI Act en de herziene Product Liability Directive, belangrijke bouwstenen vormen, maar dat zij slechts effectief zijn als organisaties hun verplichtingen concreet operationaliseren. Zonder verplichte rapportage van AI-incidenten blijft toezicht reactief in plaats van preventief. Daarom pleit het onderzoek voor een systeem van verplichte incidentmeldingen, vergelijkbaar met de meldplicht datalekken onder de AVG.

Daarnaast bepleiten de onderzoekers onafhankelijk toezicht, bescherming van klokkenluiders, en duidelijke regels voor incidentonderzoek. Ook technische maatregelen – zoals watermerken, detectie van deepfakes en expliciete gebruikslogboeken – zijn essentieel om misbruik te beperken. Deze maatregelen moeten niet worden gezien als belemmeringen voor innovatie, maar als randvoorwaarden voor vertrouwen. Alleen door transparante governance kan AI op een verantwoordelijke en maatschappelijk aanvaardbare manier worden ingezet.

Een cultuur van gedeelde verantwoordelijkheid

Het onderzoek sluit af met een heldere boodschap: verantwoorde AI vereist samenwerking tussen alle schakels in de keten. Ontwikkelaars, organisaties, toezichthouders en gebruikers delen de plicht om ethische en juridische normen te bewaken in elke fase van de AI-levenscyclus. Governance is geen sluitstuk, maar een integraal onderdeel van ontwerp en toepassing.

Zoals de auteurs samenvatten: “AI risk is lifecycle risk, and responsibility is shared over all those involved in developing, deploying and applying it.” Deze conclusie onderstreept dat AI geen autonoom risico vormt, maar een weerspiegeling is van menselijke en organisatorische keuzes. Alleen door gezamenlijke verantwoordelijkheid, transparante processen en structurele naleving kan het vertrouwen in AI duurzaam worden verankerd. Voor de juridische wereld ligt hier een duidelijke opdracht: het verbinden van technologische innovatie met rechtsstatelijke waarborgen.