Wat verandert er op 9 december 2026
De herziene EU-richtlijn productaansprakelijkheid, Richtlijn (EU) 2024/2853, moet uiterlijk 9 december 2026 in het nationale recht van elke lidstaat zijn opgenomen, en zij geldt voor producten die na die datum op de markt worden gebracht of in gebruik worden genomen. De belangrijkste wijziging voor elke ondernemer die iets digitaals levert, is de definitie van een product. Software is nu uitdrukkelijk een product, of het nu in een apparaat is ingebed, los wordt verkocht of als dienst wordt geleverd. Firmware en AI-systemen vallen binnen dezelfde reikwijdte.
De aansprakelijkheidsnorm is risicoaansprakelijkheid, ook wel strikte aansprakelijkheid genoemd. Eenvoudig gezegd moet iemand die schade lijdt aantonen dat het product gebrekkig was en dat het gebrek de schade heeft veroorzaakt. Hij hoeft niet te bewijzen dat uw bedrijf onzorgvuldig was. Dat is een andere en lagere drempel dan de meeste ondernemers gewend zijn, en het verschuift de last om de claim te voorkomen naar de maker voordat het product de deur uit gaat.
Twee details die digitale bedrijven raken
Twee specifieke punten in de richtlijn verdienen een nauwkeurige lezing. Ten eerste omvat de vergoedbare schade uitdrukkelijk de vernietiging of beschadiging van gegevens die niet voor professionele doeleinden worden gebruikt. Een mislukte update, een verkeerde synchronisatie of een beschadigde back-up die de persoonlijke bestanden van een klant wist, is nu het soort schade dat dit regime moet vergoeden, en geen randgeval dat u kunt wegwuiven. Ten tweede voorziet de richtlijn in gebreken die ontstaan doordat een product blijft leren of veranderen nadat het op de markt is gebracht, wat het dagelijkse gedrag is van een AI-systeem dat in productie blijft trainen.
Het derde detail sluit de gebruikelijke ontsnappingsroute af. U kunt deze aansprakelijkheid niet contractueel uitsluiten via uw gebruiksvoorwaarden of een eindgebruikersovereenkomst. Een clausule die de verantwoordelijkheid voor softwaregebreken of beveiligingsfouten afwijst, houdt onder dit regime geen stand tegenover een benadeelde persoon. De bescherming waarop u in uw standaardvoorwaarden mogelijk hebt vertrouwd, is voor dit doel van tafel.
Wat te controleren in de komende zes maanden
De nationale omzettingen landen niet als een uniforme tekst. Een voortgangsrapport van de lidstaten uit juni 2026 stelde vast dat een aanzienlijk aantal landen nog geen betekenisvolle openbare stappen had gezet richting omzetting, met nog ongeveer zes maanden te gaan, en dat de wel bestaande ontwerpen uiteenlopen op punten zoals verweren en drempels. Dat betekent dat de wet die feitelijk op u van toepassing is, kan verschillen per land waar de schade zich voordoet, zodat een enkel pan-Europees sjabloon waarschijnlijk niet volstaat, en u de positie markt per markt zult willen bevestigen met een gekwalificeerd adviseur.
Een praktische beginlijst, te bespreken met uw eigen raadsman in plaats van alleen op te handelen: inventariseer elk stuk software, firmware, AI of SaaS dat uw bedrijf op de markt brengt; breng in kaart welke nationale wetten op uw klanten van toepassing zijn; herzie uw gebruiksvoorwaarden op uitsluitingen die niet langer bindend zijn; controleer wat uw product-, beroeps- en cyberverzekering daadwerkelijk dekken voor gegevensverlies en AI-gedrag; en scherp uw vastlegging van tests, updates en monitoring na ingebruikname aan, want onder een regime van risicoaansprakelijkheid telt het bewijs dat u over een gebrek kunt overleggen meer dan ooit.
Lees hierna: Uw AI-factuur heeft geen plafond meer · Kies de modeltier op de taak