Voor marketeers biedt dat grote kansen. Ideeën hoeven niet langer op de backlog van IT te wachten en een campagnewebsite, interactieve quiz of leadgenerator is binnen korte tijd gebouwd. Daardoor wordt experimenteren laagdrempeliger en kunnen marketingteams sneller innoveren. Er wordt inmiddels zelfs gesproken over vibe marketing, waarbij marketeers zelfstandig digitale producten en automatiseringen ontwikkelen met behulp van AI.
Die snelheid kent ook een keerzijde. AI verlaagt de drempel om software te bouwen, maar niet de juridische verplichtingen die daarbij horen. Of een applicatie nu door een developer of door AI is geschreven, regels over privacy, informatiebeveiliging, auteursrecht en aansprakelijkheid blijven onverminderd van toepassing. In dit artikel bespreken we de belangrijkste juridische risico’s van vibe coding en waar marketeers op moeten letten.
1. Privacy: persoonsgegevens verdwijnen sneller in AI dan je denkt
Het eerste juridische risico ontstaat vaak al voordat de AI begint met programmeren. Veel gebruikers plakken zonder erbij stil te staan exports uit HubSpot, Salesforce of andere CRM-systemen in hun prompt om de AI een dashboard of applicatie te laten bouwen. Zodra daar persoonsgegevens in staan, is sprake van een verwerking van persoonsgegevens waarop de AVG volledig van toepassing is.
Dat gegevens al binnen de organisatie beschikbaar zijn, betekent niet automatisch dat zij ook voor dit nieuwe doelmogen worden gebruikt. De beginselen van doelbinding en dataminimalisatie blijven gelden. Je zult dus moeten beoordelen of je een grondslag hebt voor deze verwerking, of de gegevens daadwerkelijk noodzakelijk zijn voor het doel en of de AI-leverancier de ingevoerde gegevens mogelijk gebruikt om zijn modellen verder te trainen. Ook de vraag waar de gegevens worden verwerkt, bijvoorbeeld binnen of buiten de Europese Economische Ruimte, blijft relevant.
Daarnaast houdt de verantwoordelijkheid niet op zodra de applicatie af is. Wanneer de door AI gebouwde software zelf persoonsgegevens verzamelt via formulieren, dashboards of klantportalen, blijft de organisatie verantwoordelijk voor een rechtmatige verwerking, passende beveiliging en transparantie richting gebruikers.
2. Security en governance: AI bouwt de software, maar controleert deze niet
Dat een applicatie goed werkt, betekent niet automatisch dat deze ook veilig is. AI is sterk in het genereren van functionele code, maar kan beveiligingslekken introduceren die voor een niet-programmeur lastig te herkennen zijn. Softwareontwikkelaars spreken daarom steeds vaker over een technische schuld: code die vandaag werkt, maar later moeilijk te onderhouden blijkt of beveiligingsproblemen veroorzaakt. De verantwoordelijkheid daarvoor blijft bij de organisatie die de software gebruikt, niet bij de AI-tool.
Juist daarom is het belangrijk om verder te kijken dan de marketingclaims van AI-platformen. Een tool kan zichzelf op de website presenteren als compliant, maar daarmee is de software die je ermee ontwikkelt dat nog niet automatisch. In de algemene voorwaarden van veel aanbieders wordt juist vastgelegd dat gebruikers zelf verantwoordelijk zijn voor de rechtmatigheid van de ingevoerde gegevens, de naleving van privacywetgeving en eventuele inbreuken op intellectuele eigendomsrechten. De juridische risico’s van de uiteindelijke applicatie blijven in belangrijke mate bij de gebruiker liggen.
Zorg er dus voor dat je de bestaande governanceprocessen blijft volgen. Nu softwareontwikkeling niet langer uitsluitend bij IT plaatsvindt, bestaat het risico dat bestaande controles op privacy, informatiebeveiliging en beheer worden overgeslagen. Betrek IT daarom ook bij applicaties die met AI zijn ontwikkeld, zodat de juiste technische en juridische controles plaatsvinden voordat de software in gebruik wordt genomen en kwetsbaarheden op tijd aan het licht komen.
3. Auteursrecht: van wie is de gegenereerde code?
Daarnaast is het nog maar de vraag of jij auteursrecht krijgt op software die grotendeels door AI is gegenereerd. Om auteursrecht te krijgen moet er namelijk sprake zijn van een eigen, oorspronkelijk werk waarin creatieve keuzes van de maker zijn gemaakt. Bij AI-gegenereerde code is nog niet duidelijk in hoeverre daaraan wordt voldaan. Europese rechtspraak over AI-gegenereerde afbeeldingen laat zien dat rechters niet snel aannemen dat sprake is van voldoende menselijke creativiteit, en ook in de Verenigde Staten is geoordeeld dat volledig door AI gegenereerde werken niet voor auteursrechtelijke bescherming in aanmerking komen.
Tegelijkertijd bestaat het omgekeerde risico: AI-modellen zijn getraind op grote hoeveelheden bestaande software, waardoor gegenereerde code elementen kan bevatten die zijn gebaseerd op auteursrechtelijk beschermde broncode of open source software waarvoor specifieke licentievoorwaarden gelden. Wereldwijd lopen inmiddels verschillende rechtszaken over de verhouding tussen generatieve AI en auteursrecht, waaronder zaken die specifiek zien op het gebruik van bestaande software als trainingsmateriaal.
4. Aansprakelijkheid: AI krijgt de boete niet
Wij krijgen vaak vragen over wie er aansprakelijk is wanneer AI een fout maakt. Wanneer een AI-gegenereerde applicatie leidt tot een datalek, een beveiligingslek bevat of inbreuk maakt op rechten van derden, zal een toezichthouder of rechter zich doorgaans richten tot de organisatie die de applicatie heeft ontwikkeld of gebruikt, niet tot de AI-tool zelf. Dat sluit ook aan bij de lijn die verschillende rechters al hebben getrokken met betrekking tot aansprakelijkheid voor het handelen van AI-agents. Zo oordeelde de Duitse rechter onlangs dat een cosmetisch bedrijf aansprakelijk was voor foute uitspraken die haar AI-agent had gedaan, ondanks het feit dat de AI-agent wel met de juiste informatie getraind was.
Ook sluit dit aan bij de uitgangspunten van de AI Act, waarin menselijk toezicht centraal staat. Organisaties moeten voldoende controle houden over AI-systemen en ervoor zorgen dat medewerkers die ermee werken AI-geletterd zijn. Dat betekent dat zij begrijpen hoe AI werkt, welke beperkingen de technologie heeft en welke risico’s daarbij horen. De AI schrijft misschien de code, maar de verantwoordelijkheid voor de uiteindelijke software blijft bij de mens liggen.
Checklist: zes juridische checks voordat je AI-gegenereerde software live zet
Voordat een AI-gebouwde applicatie live gaat, is het verstandig om een aantal vaste controles uit te voeren:
- Privacy – Gebruik geen persoonsgegevens in prompts, tenzij dat past binnen het doel van de verwerking, er zo min mogelijk data wordt gebruikt en een duidelijke juridische grondslag bestaat. Zorg voor een geüpdatete privacyverklaring en passende beveiligingsmaatregelen wanneer de applicatie persoonsgegevens verwerkt.
- Geen verdere training – Controleer of de AI-leverancier prompts gebruikt om het model verder te trainen en schakel dit waar mogelijk uit;
- Dubbel check – Laat AI-gegenereerde code beoordelen door iemand met technische kennis. Daarbij kan ook een beveiligingstest worden uitgevoerd voordat de applicatie live gaat.
- Open source & auteursrecht – Controleer of open source componenten zijn gebruikt en welke licenties daarop van toepassing zijn.
- Werk samen – Betrek IT, privacy en security vanaf de start van het project. Zorg er daarnaast voor dat medewerkers die met AI werken voldoende AI-geletterd zijn en hun kennis actueel houden.
- Documenteren – Leg vast welke AI-tools binnen de organisatie zijn toegestaan en onder welke voorwaarden zij mogen worden gebruikt. Documenteer ook hoe AI tijdens de ontwikkeling is ingezet en welke controles zijn uitgevoerd.
Meer weten over de juridische regels rondom AI? Vraag het aan onze legals via legal@ddma.nl
Ook interessant
Vibe coding in marketing: innovatie met juridische verantwoordelijkheid
AI-labeling: wat marketeers moeten weten over transparantie voor AI