AI-website en GBA-klacht: wie betaalt in België?

Een freelancer in Antwerpen leverde uw e-shop op in drie dagen, gebouwd met Cursor en Claude. Acht maanden later opent de Geschillenkamer van de Gegevensbeschermingsautoriteit een dossier tegen uw BV nadat een klacht binnenkwam via het loket aan de Drukpersstraat in Brussel. De cookiebanner laadt analytische cookies van Google nog voordat de bezoeker iets aanklikt. Uw freelancer stuurt een prompt naar ChatGPT met de vraag of de AI hier de gedaagde kan zijn. Het antwoord is kort. Belgisch recht parkeert die vordering bij u en niet bij de Amerikaanse vennootschap die de tool aanbiedt. Dit artikel legt uit waarom dat zo is, en wat de productaansprakelijkheidsrichtlijn van 9 december 2026 daaraan toevoegt.

De korte versie volgens Belgisch recht

De Gegevensbeschermingsautoriteit, opgericht bij wet van 3 december 2017, is de instelling die de AVG in België handhaaft. Onder artikel 4(7) van de AVG is de verwerkingsverantwoordelijke wie het doel en de middelen van de verwerking bepaalt. Op een Belgische bedrijfssite is dat de uitbater achter het KBO-nummer dat onderaan de pagina staat. Boek XII van het Wetboek van economisch recht (WER) over het recht van de elektronische economie maakt diezelfde uitbater verantwoordelijk voor de identificatie van het bedrijf op de site. De AI-tool die de code samenstelde is in het Belgisch kader geen verwerkingsverantwoordelijke, geen verwerker, en geen partij bij de verwerking van bezoekersdata. De tool verwerkte de prompt van de ontwikkelaar. Dat is een aparte transactie, los van uw website.

In de praktijk start een GBA-dossier vanuit één van twee kanalen. Een burger dient een klacht in via het online formulier op gegevensbeschermingsautoriteit.be, of de Geschillenkamer beslist op eigen initiatief tot een onderzoek door de Inspectiedienst. Beide paden eindigen bij wie het KBO-uittreksel als rechtspersoon noemt. Niet bij OpenAI in San Francisco en niet bij Anthropic in Londen.

Waarom de AI-leverancier buiten beeld blijft in een GBA-dossier

Drie elementen sluiten de AI-leverancier af van het Belgische dossier.

Het eerste is contractueel. De algemene voorwaarden van Cursor, GitHub Copilot, Anthropic en OpenAI leggen consequent het risico van de output bij de gebruiker van de tool. De gebruiker accepteert dat suggesties "as is" worden geleverd, dat de output zelf moet worden geverifieerd, en dat de leverancier wordt gevrijwaard tegen vorderingen van derden. Op het ogenblik dat uw Antwerpse of Gentse bouwer een Cursor-suggestie commit, verschuift het juridische gewicht naar uw bouwer, niet naar de Amerikaanse vennootschap die de tool aanbiedt.

Het tweede element is data-protectie-architectuur. De AI-leverancier is voor uw websitebezoekers geen verwerkingsverantwoordelijke en geen verwerker. Het EDPB-advies 28/2024 over AI-modellen van december 2024 herhaalt dat rollen en verantwoordelijkheden moeten worden vastgesteld voorafgaand aan de verwerking, en dat de partij die een AI-model inzet een eigen verantwoordingsplicht draagt onder artikel 5(2) AVG. De inzetter in dit dossier is uw vennootschap, uw domeinnaam en de bezoekers die de pagina openen vanuit Brussel, Antwerpen of Charleroi. De GBA bevestigde die lijn in haar Beslissing 21/2022 van 2 februari 2022 over IAB Europe en het Transparency and Consent Framework, waarin de Geschillenkamer een boete van EUR 250.000 oplegde en corrigerende maatregelen beval tegen de partij die het kader uitbaatte, niet tegen de adtech-onderaannemers eronder.

Het derde element is de Europese wetgevingsagenda. Het Commissievoorstel voor een AI-aansprakelijkheidsrichtlijn dat de bewijslast tussen AI-leverancier en gedupeerde zou verlichten, stond op de intrekkingslijst van 11 februari 2025 en werd op 6 oktober 2025 formeel ingetrokken bij publicatie van de mededeling in PB C/2025/5423. Het schone kader voor 2026 komt er niet. Wat overblijft is de bestaande verdeling: u bent verwerkingsverantwoordelijke, en de GBA handhaaft op die kwalificatie.

En het bureau dat de AI inschakelde

De keten klant-bureau bestond in België al ruim voor AI-tools aan bod kwamen. Dezelfde redenering die gold voor een bouwer die een ongelicentieerde foto verwerkte, geldt voor een bouwer die een AI-assistent inzette voor codegeneratie. <!-- TODO: vervang door /be/nl/guides/web-designer-auteursrecht-belgie wanneer beschikbaar --> Tegenover de buitenwereld, en in het bijzonder tegenover de GBA en Test-Aankoop in een consumentenklacht, bent u de gedaagde. Onderling tussen u en uw bouwer geldt het opdrachtcontract, doorgaans een aanneming van werk onder boek 5 van het Belgisch Burgerlijk Wetboek.

De AI-laag voegt één structureel element toe. Het contract tussen het bureau en de AI-leverancier vrijwaart in nagenoeg alle gevallen de AI-leverancier, niet uw bureau en zeker niet u. U sloot zelf geen overeenkomst met OpenAI of Anthropic. Uw bureau wel. Het bureau heeft contractueel beloofd dat het, het bureau, het output-risico draagt. Die belofte stroomt niet door naar u en geeft u geen verhaalrecht tegenover de Amerikaanse juridische dienst van de tool.

Het opdrachtcontract met uw bureau is daarom het enige document dat telt wanneer u de schade wil verhalen. Zonder conformiteitsgarantie, AI-meldplicht of vrijwaringsclausule staat u zwak. Met die clausules staat u even sterk als bij elk ander geschil over wanprestatie in een aanneming. De Belgische rechtbank van koophandel (afgeschaft sinds 2014, nu de ondernemingsrechtbank) behandelt zulke geschillen tussen handelaars.

Wat verandert er op 9 december 2026 en wat juist niet

Richtlijn (EU) 2024/2853, de nieuwe productaansprakelijkheidsrichtlijn, kwalificeert software en AI-systemen voor het eerst als producten in de zin van artikel 4. België moet de richtlijn omzetten tegen 9 december 2026 (artikel 24). De Belgische omzetting verloopt vermoedelijk via een wijziging van Boek XVII WER, dat richtlijn 85/374/EEG van 1985 al implementeerde via de wet van 25 februari 1991 inzake productaansprakelijkheid. Vanaf de overgangsdatum geldt het nieuwe regime voor producten die nadien op de markt komen. Producten van voor 9 december 2026 blijven onder de wet van 1991 vallen.

Voor de AI-website-vraag schept dit een smal extra spoor. Een natuurlijke persoon die materiële schade lijdt door een gebrekkige AI-tool, kan de aanbieder van die tool vanaf eind 2026 rechtstreeks aanspreken onder een risicoaansprakelijkheidsregime, zonder fout te moeten bewijzen. Open-source software die buiten een commerciële activiteit is ontwikkeld, blijft uitgesloten onder artikel 2(2), maar de commerciële code-assistenten van OpenAI, Anthropic en GitHub vallen er volledig onder. De claim dekt schade aan natuurlijke personen. Het is geen route om uw GBA-boete te verhalen op een AI-leverancier, en het werkt niet retroactief voor sites die voor de overgang werden gebouwd.

Wat niet verandert op 9 december 2026: wie verwerkingsverantwoordelijke is, tegen wie de Geschillenkamer van de GBA beslist en wie een AVG-boete betaalt. Dat blijft u, voor en na die datum. De PLD voegt een vorderingspad toe tegen de AI-leverancier voor een smalle categorie schade. Het verwijdert de bestaande aansprakelijkheidslijn tegen u niet. De richtlijn verdient een eigen behandeling, zie de productaansprakelijkheidsrichtlijn 2024/2853 in detail.

Drie praktijksituaties onder Belgisch toezicht

De AI-gebouwde cookiebanner heeft geen werkende weiger-alles-knop. De GBA handhaaft tegen u onder artikel 4(11) AVG en artikel 129 van de wet van 13 juni 2005 betreffende de elektronische communicatie, de Belgische ePrivacy-omzetting. De Inspectiedienst kan een onderzoek opstarten, en de Geschillenkamer beslist over corrigerende maatregelen en boetes. Het bureau kan onderling jegens u aansprakelijk zijn op grond van wanprestatie binnen het aannemingscontract, maar alleen wanneer uw bestek de oplevering aan een werkende cookiebanner koppelde. De GBA-regels rond cookiebanners in België is de goedkoopste vraag om vooraf goed te beantwoorden.

Het AI-gebouwde contactformulier stuurt gegevens naar een Amerikaanse dienst zonder modelcontractbepalingen. Dat is een hoofdstuk V AVG-overtreding, en de GBA handhaaft tegen u als verwerkingsverantwoordelijke. Belgische verwerkingsverantwoordelijken hebben sinds Schrems II te maken met dezelfde harde lijn als elders in de EU. Hou er ook rekening mee dat de boekhoudkundige bewaartermijnen onder boek III WER en de gecoördineerde wet op de boekhouding zeven jaar bedragen voor de meeste KMO-stukken, dus uw register van verwerkingsactiviteiten onder artikel 30 AVG moet daarop afgestemd zijn. Het bureau heeft mogelijk een standaardpatroon van Cursor of Claude overgenomen waarin de derde partij hard is ingebed. Het bureau is u een oplossing schuldig en, als uw contract klopt, een terugbetaling van de boete.

De AI-gegenereerde alt-teksten zijn fout of ontbreken op de meeste afbeeldingen. De Europese toegankelijkheidsrichtlijn werd in België omgezet via de wet van 19 juli 2022 betreffende de toegankelijkheidsvereisten voor producten en diensten, in werking sinds 28 juni 2025. De FOD Economie via haar Algemene Directie Economische Inspectie houdt toezicht op de marktdeelnemers en de FOD BOSA op de toegankelijkheid van publieke websites. Voor B2C-webshops boven de KMO-drempel zijn WCAG 2.1 AA alt-teksten op functionele afbeeldingen verplicht. De EAA-boetes onder Belgische handhaving komen bij u terecht, niet bij de AI. AI-gegenereerde alt-tekst die hallucineert is in deze context slechter dan helemaal geen alt-tekst, omdat een schermlezer het met overtuiging voorleest aan een blinde bezoeker.

Zo verschuift u het risico terug naar uw bureau

Het opdrachtcontract is uw enige hefboom. Vraag voor u tekent om:

• Een vrijwaringsclausule die uw vennootschap met naam noemt en die claims van derden over niet-conformiteit van de opgeleverde site dekt.
• Een conformiteitsgarantie: het bureau garandeert dat de site bij oplevering voldoet aan AVG, de wet van 13 juni 2005, de toegankelijkheidswet van 19 juli 2022 en boek VI WER over marktpraktijken en consumentenbescherming.
• Een AI-meldplicht: het bureau geeft aan welke AI-tools welke delen genereerden. Niet als juridisch schild voor het bureau, maar als input voor uw eigen transparantieplicht onder artikel 50 AI-verordening vanaf 2 augustus 2026 als er AI-gegenereerde tekst of beelden op de site staan. <!-- TODO: vervang door /be/nl/guides/ai-verordening-website-eigenaren wanneer cluster #4 verschijnt -->
• Een scanrecht: u mag een conformiteitsscan draaien voor de definitieve oplevering en kritieke punten moeten op kosten van het bureau worden hersteld.
• Een nazorgperiode: het bureau lost gevonden conformiteitsdefecten in de eerste 90 dagen na oplevering op eigen kosten op.

Een bureau dat tegen deze clausules schopt, geeft u een signaal: het is niet zeker van wat het oplevert.

Wat u vandaag op uw eigen site kunt controleren

Vijf controles zonder ontwikkelaar. Twee minuten per stuk.

1. Heeft de cookiebanner een weiger-alles-knop die even zichtbaar is als accepteer-alles en die niets voorvinkt?
2. Laden analytics- en marketingscripts pas nadat de bezoeker toestemming heeft gegeven?
3. Staan in de privacyverklaring uw werkelijke vennootschapsnaam en uw KBO-nummer, en niet een placeholder als [Uw bedrijf] uit een AI-sjabloon? Boek XII WER eist het ondernemingsnummer hoe dan ook op elke pagina van de site.
4. Staan er beschrijvende alt-teksten op de belangrijke productafbeeldingen, en niet "afbeelding van"?
5. Kan een bezoeker met alleen het toetsenbord de belangrijkste pagina's en de checkout doorlopen zonder muis?

Twijfelt u over één van deze punten? Onze gratis conformiteitsscan controleert AVG, cookies, toegankelijkheid en auteursrechten. De scan beoordeelt niet of uw AI-tools legaal zijn. Wel of de site die ze hielpen bouwen dat is.

Veelgestelde vragen

Mijn webbouwer gebruikte Lovable of Bolt. Ben ik dan aansprakelijk voor de AVG-fouten op mijn site?

Ja. Onder artikel 4(7) AVG bent u de verwerkingsverantwoordelijke voor de persoonsgegevens die uw site verwerkt, ongeacht of de code door een mens of door een AI is geschreven. De Gegevensbeschermingsautoriteit spreekt de verwerkingsverantwoordelijke aan, niet de tool.

Kan ik OpenAI of Anthropic aansprakelijk stellen als hun tool niet-conforme code produceerde?

Bijna nooit. U hebt geen contract met hen. Uw bouwer wel, en de voorwaarden van die contracten leggen de verantwoordelijkheid voor de output bij de gebruiker van de tool. Vanaf 9 december 2026 opent de nieuwe productaansprakelijkheidsrichtlijn een smal pad, maar alleen voor schade aan natuurlijke personen en alleen voor producten die na die datum op de markt komen.

Verplicht de AI-verordening labels op mijn AI-gebouwde site in België?

Het hangt ervan af wat de AI heeft gegenereerd. Vanaf 2 augustus 2026 vereist artikel 50 van de AI-verordening labels op AI-gegenereerde beelden, audio, video en tekst die misleidend kunnen zijn, plus verplichte deepfake-labels. Code valt er niet onder. Voor AI-gegenereerde teksten of beelden op uw site moet u een labelaanpak plannen.

Wat verandert er op 9 december 2026 met richtlijn 2024/2853?

België moet de nieuwe productaansprakelijkheidsrichtlijn op die datum omgezet hebben. Vanaf dan behandelt de richtlijn software en AI-systemen als producten en opent ze een pad van risicoaansprakelijkheid tegen de producent voor schade aan natuurlijke personen, maar alleen voor producten die na 9 december 2026 op de markt komen. Uw AVG-verplichtingen als verwerkingsverantwoordelijke veranderen niet.

Mijn webbouwer sluit AI-gebruik uit in het contract. Beschermt dat mij?

Niet tegen de GBA. De toezichthouder kijkt naar de verwerkingsverantwoordelijke, en dat bent u. Een uitsluiting tussen u en uw bouwer bepaalt alleen wie wie intern compenseert. Vervang elke AI-uitsluitingsclausule door een conformiteitsgarantie: de bouwer garandeert dat de opgeleverde site bij oplevering voldoet aan AVG, cookiewet en EAA.

Verder lezen

Wilt u verder met de vragen waar dit artikel aan raakte?

• De keten tussen klant en bureau bestond al lang voor AI. Hoe webdesigner-aansprakelijkheid werkt bij ongelicentieerde afbeeldingen wordt elders behandeld. <!-- TODO: vervang door /be/nl/guides/web-designer-auteursrecht-belgie wanneer beschikbaar -->
• De omslag van 9 december 2026. De productaansprakelijkheidsrichtlijn 2024/2853 in detail voor Belgische KMO's behandelt scope en uitsluitingen.
• AI-verordening-transparantieverplichtingen vanaf 2 augustus 2026. Wat de AI-verordening van Belgische website-eigenaren vraagt is het zusterartikel.
• De cookiebanner is waar AI-gebouwde sites in België als eerste sneuvelen. Cookiebanner GBA-regels in België is de goedkoopste vraag om goed te beantwoorden.
• Voor een algemene AVG-controle van uw site, zie de AVG website-audit voor Belgische ondernemers.

Dit artikel is technische analyse, geen juridisch advies. De auteur is niet uw advocaat en is niet de verwerkingsverantwoordelijke voor uw site. Voor een bindend oordeel praat u met één van die twee.