Nieuw onafhankelijk onderzoek: toonaangevende AI-systemen overtreden Europese wetgeving in tot wel 93% van getoetste scenario’s

Geen enkel groot AI-model houdt zich aan de Europese wet- en regelgeving. Dat blijkt uit nieuw onderzoek van AI-onderzoekinstituut Aithos met behulp van LARA.

LARA (Legal Assessment for Real-world Agents) is gebruikt om toonaangevende commerciële AI-modellen te toetsen op verboden en risicovolle gedragingen op grond van Europese wet- en regelgeving, waaronder schendingen op het gebied van gegevensbescherming, manipulatie, emotieherkenning, psychologische profilering, evenals het negeren van verplichtingen om menselijke supervisie toe te passen.

De toetsen zijn gebaseerd op tien fundamentele grondrechten uit de wet- en regelgeving voor AI in Europa: de AVG (GDPR), die persoonsgegevens beschermt, en de EU AI-verordening (EU AI Act), die scherpe grenzen stelt aan wat AI-systemen wel en niet mogen doen.

In alle tien scenario’s en bij alle twaalf getoetste modellen overtrad zelfs het best presterende systeem in 46% van de gevallen de wet. Het slechtst presterende model deed dat in 93% van de gevallen. Niet alleen breekt elk van de ‘frontier’-modellen de wet, ook werden alle geteste wetten gebroken.

Uit de gegevens van Aithos’ LARA blijkt dat Claude Opus 4.7 als beste uit de test kwam met een wettelijke naleving van circa 54%. GPT-5.5 scoorde rond de 38%. De overige getoetste systemen presteerden nog slechter: Google’s Gemini 3.1 Pro bleef steken op slechts 10% wettelijke naleving (‘legal compliance’).

Gebrek aan naleving kan leiden tot boetes van maximaal 35 miljoen euro
Bedrijven die AI-agents bouwen en op de markt brengen – dus niet de makers van het onderliggende AI-model – dragen primair de wettelijke verantwoordelijkheid voor naleving van de EU AI-verordening en de AVG. Organisaties die zo’n agent vervolgens inzetten, zijn daarvoor eveneens aansprakelijk.

Bij gebrek aan naleving lopen bedrijven het risico op hoge boetes tot maximaal 20 miljoen euro of 4% van hun jaarlijkse omzet op grond van de AVG en tot 35 miljoen euro of 7% van de wereldwijde omzet op grond van de EU AI-verordening.

Beide verordeningen zijn extraterritoriaal van kracht. Dat betekent dat als een bedrijf persoonsgegevens van EU-inwoners verwerkt of een AI-systeem inzet bij gebruikers binnen of uit de EU, dit eveneens valt onder de naleving van de regelgeving, ongeacht waar het bedrijf zelf gevestigd is.

“Dit zijn geen abstracte wettelijke overtredingen. Wat wij met LARA willen aantonen, is dat de systemen waarop mensen dagelijks vertrouwen, nog niet zijn ingericht om hun rechten te beschermen,” zegt Nadia Kadhim, Executive Director bij Aithos. “De uitkomsten zouden niet alleen de bedrijven die commerciële modellen inzetten enorme zorgen moeten baren, maar iedereen die met een AI-systeem te maken krijgt. Deze wetten zijn er niet voor niets: AI kan echt serieuze schade aan mensen toebrengen. Onze autonomie, onze privacy maar ook andere fundamentele mensenrechten staan op het spel.”

LARA is door Aithos ontwikkeld om breder publiek in staat te stellen AI-modellen te toetsen aan concrete wettelijke vereisten.

“We plaatsen het model in een actieve simulatie, waarin het e-mails kan lezen, tools kan gebruiken of kan praten met klanten. LARA test hoe AI-systemen zich in de praktijk gedragen, niet hoe ze scoren op een vragenlijst,” aldus Daan Henselmans, Research Director bij Aithos. De bevindingen laten een opvallend verschil zien tussen hoe het publiek denkt over AI-veiligheid en het feitelijke, wettelijke gedrag van de onderzochte systemen.

Andere scenario’s omvatten terminaal zieke gebruikers die financiële producten met een looptijd van 30 jaar kregen voorgeschoteld, ondanks dat er duidelijke aanwijzingen waren dat het om een kwetsbare gebruiker ging. Andere tests brachten onrechtmatige emotionele en psychologische profileringspraktijken aan het licht die verboden zijn onder artikel 5 van de EU AI-verordening.

Dagelijkse gebruikers hebben momenteel geen betrouwbare manier om te weten of de AI-agents waarmee zij communiceren wetgeving naleven. Aithos is van mening dat iedereen die met AI-systemen in aanraking komt, in staat moet zijn te toetsen hoe die systemen voor hen functioneren.

LARA is gratis beschikbaar en ontwikkeld met het oog op brede publiekelijke toegankelijkheid. De eerstvolgende update maakt het voor iedereen mogelijk om scenario’s te bouwen om vervolgens de AI-tools die van invloed zijn op hun leven te toetsen op basis van hun eigen voorkeuren. Ook zal LARA worden uitgebreid met de mogelijkheid verschillende nationale en internationale wetten te toetsen.