Software en AI vallen voortaan onder de productaansprakelijkheid
De definitie van ‘product’ wordt ingrijpend verruimd. Besturingssystemen, firmware, applicaties, AI-systemen en software-as-a-serviceoplossingen vallen er voortaan allemaal onder, ongeacht hoe de software wordt geleverd (via download, embedded in hardware of als cloudoplossing). Ook digitale fabricagedossiers – bestanden voor 3D-printers of CNC-machines – worden als product aangemerkt.
Gratis en opensourcesoftware die buiten een commerciële context wordt ontwikkeld en aangeboden, is van de regeling uitgesloten. Zodra je opensourcesoftware echter integreert in een commercieel product, kan je als fabrikant van dat product alsnog aansprakelijk zijn voor schade veroorzaakt door een gebrek in die software. De uitzondering is smaller dan zij lijkt.
Aansprakelijkheid voor software-updates en AI-gedrag duurt voort na de verkoop
Een fabrikant die zeggenschap houdt over een product, bijvoorbeeld omdat hij updates kan uitrollen of een AI-systeem blijft trainen, kan aansprakelijk zijn voor gebreken die ná de ingebruikname ontstaan. Het verweer dat het gebrek pas na het in de handel brengen is ontstaan, snijdt in die gevallen geen hout meer.
Concreet betekent dit dat een fabrikant die bijvoorbeeld nalaat een veiligheidskritieke update te leveren, aansprakelijk kan zijn voor de schade die dat nalaten veroorzaakt. Voor elk bedrijf dat na de lancering nog invloed uitoefent op zijn product, via updates, patches of gekoppelde diensten, is dit een wezenlijk nieuw risico.
Meer partijen in de toeleveringsketen aansprakelijk voor gebrekkige producten
De nieuwe richtlijn introduceert een getrapt stelsel. In eerste instantie is de fabrikant het aanspreekpunt. Is die buiten de EU gevestigd, dan komen achtereenvolgens de importeur, de gemachtigde van de fabrikant en de fulfilmentdienstverlener in beeld. Pas als ook die niet te identificeren zijn, kan de distributeur worden aangesproken, tenzij die binnen een maand de identiteit van een andere marktdeelnemer doorgeeft.
Onlineplatforms kunnen aansprakelijk zijn als zij een product presenteren op een manier die consumenten doet geloven dat het platform zelf de aanbieder is. Passief doorgeven van informatie volstaat niet voor aansprakelijkheid, maar de grens is in de praktijk niet altijd scherp. Voor bedrijven die producten importeren, fulfillment verzorgen of via een platform verkopen, is het de moeite waard de eigen positie in de keten juridisch te laten beoordelen.
Vernietiging of corruptie van privégegevens als vergoedbare schade
Verlies of corruptie van gegevens die niet voor beroepsdoeleinden worden gebruikt, levert voortaan vergoedbare schade op. Denk aan privéfoto’s die van een harde schijf verdwijnen als gevolg van een gebrekkige software-update, inclusief de kosten voor herstel of terugwinning. Gegevens die uitsluitend zakelijk worden gebruikt, zijn van vergoeding uitgesloten. Bij gemengd gebruik – een laptop die zowel zakelijk als privé wordt ingezet – bestaat het recht op schadevergoeding wel.
Verlichting van de bewijslast bij productaansprakelijkheidsclaims over software en AI
De bewijslast blijft in beginsel bij de benadeelde liggen, maar de richtlijn verlicht die last op drie manieren. De rechter kan een marktdeelnemer verplichten relevante bewijsstukken te verstrekken; weigert die, dan geldt het weerlegbaar vermoeden dat het product gebrekkig is. Datzelfde vermoeden treedt op als het product aantoonbaar niet voldoet aan dwingende veiligheidsvoorschriften, of als het product kennelijk disfunctioneert bij normaal gebruik. In technisch of wetenschappelijk complexe zaken zoals bij AI-systemen vaak het geval is, kan de rechter bovendien de bewijsdrempel verlagen. De eiser hoeft dan alleen aannemelijk te maken dat het product waarschijnlijk gebrekkig was.
Voor bedrijven die worden aangesproken, zijn goede productdocumentatie, testrapportages en een overzichtelijk updatebeleid daarmee juridisch waardevol. Wie niets kan overleggen, staat snel met zijn rug tegen de muur.
Vervaltermijn van 25 jaar bij latente gezondheidsschade door gebrekkige producten
De verjaringstermijn van drie jaar blijft bestaan. De vervaltermijn – de absolute grens waarna geen vordering meer mogelijk is – blijft in beginsel tien jaar, maar wordt verlengd tot 25 jaar als sprake is van lichamelijk letsel met een lange latentietijd: klachten die zich pas na jaren openbaren. Voor producenten van software of AI met mogelijke gezondheidseffecten betekent dit een wezenlijk langere risicoperiode dan waarop zij tot nu toe rekenden.
Voor wie zijn deze nieuwe regels relevant?
De nieuwe regels zijn het meest ingrijpend voor bedrijven die software of AI-systemen ontwikkelen of distribueren, maar de reikwijdte is breder.
Softwareontwikkelaars en SaaS-aanbieders die producten commercieel op de markt brengen, lopen direct aansprakelijkheidsrisico als hun software gebreken vertoont die schade veroorzaken. Datzelfde geldt voor fabrikanten van connected devices, slimme apparaten en AI-gedreven systemen waarvan de software na de verkoop nog onder hun zeggenschap valt.
Importeurs en distributeurs die producten van buiten de EU in de Europese markt brengen, kunnen worden aangesproken als de fabrikant buiten bereik is. Fulfilmentbedrijven en platformaanbieders moeten hun positie in de keten zorgvuldig beoordelen: de grens tussen een passief doorgeefluik en een aansprakelijke marktdeelnemer is in de wet scherper getrokken, maar zal in de praktijk tot discussie leiden.
Bedrijven die producten ingrijpend wijzigen en daarna opnieuw in de handel brengen worden voor de toepassing van de richtlijn als fabrikant aangemerkt. Zij zijn aansprakelijk als het gewijzigde product schade veroorzaakt door het gewijzigde onderdeel.
Veelgestelde vragen over de nieuwe richtlijn productaansprakelijkheid
