AI-hallucinaties vormen een structureel bedrijfsrisico, en door recente juridische uitspraken en de AI Act verandert de aansprakelijkheid voor onjuiste AI-uitvoer ingrijpend voor organisaties.
Steeds meer organisaties vertrouwen op AI-systemen voor rapportages, samenvattingen en klantinteractie. Uit recente incidenten blijkt dat deze systemen geregeld 'hallucineren': ze produceren overtuigend klinkende maar onware of verzonnen informatie. KPMG moest een AI-gebaseerd rapport intrekken vol verzonnen bronnen, door toedoen van AI-controletool GPTZero en de Financial Times. Een Duitse rechter oordeelde dat Google aansprakelijk is voor onjuiste AI-overzichten, met een verbod en dwangsom tot gevolg. Deze zaken tonen de overgang van hallucinaties als technische curiositeit naar een juridisch en commercieel risico. De samenhang is duidelijk: toezichthouders en rechtbanken grijpen in, consultancykantoren zoals KPMG, Deloitte en EY concurreren op AI-betrouwbaarheid en controletools winnen aan invloed. De Europese AI-verordening verscherpt de eisen: bedrijven moeten AI-geletterdheid borgen en AI-uitvoer transparant maken. Dit creëert een landschap waarin een onzorgvuldige omgang met AI direct kan leiden tot schadeclaims, reputatieverlies en boetes. Voor Nederlandse ondernemers en organisaties betekent dit dat passief AI-gebruik niet langer verantbaar is. Er zijn concrete handvatten: een risicoclassificatie van AI-systemen, het inbouwen van menselijke controle en bronverificatie, en het vastleggen van governance. De incidenten en de wetgeving benadrukken dat een fout op een kwetsbare plek grote gevolgen kan hebben. De juiste vraag is niet of AI hallucineert, maar of je verificatie hebt ingebouwd waar het pijn doet.
Een regionale rechtbank in Duitsland oordeelde dat Google verantwoordelijk is voor fouten in AI-gegenereerde samenvattingen en legde een verbod op met een dwangsom tot 250.000 euro. Dit schept een juridisch precedent in de EU: organisaties kunnen aansprakelijk worden gesteld voor AI-output, ook als gebruikers bronlinks hebben. Het vonnis dwingt tot zorgvuldige omgang met AI-tekst.
KPMG moest een rapport terugtrekken omdat het verzonnen bronnen en casestudies bevatte, ontdekt door GPTZero en Financial Times. Dit toont aan dat zelfs grote, professionele organisaties kwetsbaar zijn voor AI-fouten en dat blind vertrouwen op AI-uitvoer gevaarlijk is. Het incident onderstreept de noodzaak van ingebouwde verificatiemechanismen.
Volgens FLOH zijn hallucinaties een ontwerpkenmerk van taalmodellen, geen bug. Organisaties moeten ze daarom behandelen als een vast onderdeel van hun risicomanagement. Dit vraagt om een fundamentele heroverweging van vertrouwen in AI: niet vertrouwen, maar verifiëren moet het uitgangspunt zijn.
Een breed gedeelde best practice is om AI-tekst nooit zonder menselijke controle te publiceren. Dit voorkomt hallucinaties en 'vibe citing' en sluit direct aan bij de eisen van de AI Act en de lessen uit de KPMG-zaak. Het is een eenvoudige, direct toepasbare maatregel die grote problemen kan voorkomen.
Sinds 2 februari 2025 moeten medewerkers AI-geletterd zijn; vanaf augustus 2026 gelden uitgebreide transparantie- en risicoclassificatie-eisen. Voor MKB-bedrijven betekent dit dat er nu actie nodig is: medewerkers trainen, AI-gebruik documenteren en systemen classificeren. De AI Act biedt een praktisch stappenplan met vier risicocategorieën.
De Duitse rechtbank stelde dat AI-overzichten zelfstandige, inhoudelijke uitspraken zijn in Google's eigen woorden, niet slechts een doorgifte van informatie. Gebruikers mogen erop kunnen vertrouwen dat de samenvatting klopt, los van onderliggende bronnen. Deze interpretatie verhoogt de aansprakelijkheidslat voor iedereen die AI-samenvattingen publiceert.
Het vastleggen van keuzes en het aanwijzen van een vaste eigenaar voor AI-systemen is essentieel voor compliance. Dit biedt houvast bij audits, juridische vragen en interne verantwoording. Het helpt organisaties om aantoonbaar te maken dat ze zorgvuldig met AI omgaan, wat in lijn is met de AI Act-verplichtingen.
AI-detectietool GPTZero en de Financial Times brachten de hallucinaties in het KPMG-rapport aan het licht. Dit illustreert de opkomst van externe controleurs van AI-content. Voor ondernemers biedt het een concreet handvat: dergelijke tools kunnen worden ingezet om de eigen AI-uitvoer te toetsen op juistheid en herkomst.
