Geen van de twaalf geëvalueerde grote AI-modellen haalt de drempel voor naleving van de GDPR en de AI Act, en het risico dat tot nu toe op de integrators drukte, wordt voortaan meetbaar, documenteerbaar en afdwingbaar. Dat blijkt uit de benchmark LARA (Legal Assessment for Real-world Agents), gepubliceerd op 27 mei 2026 door de non-profit onderzoeksstichting Aithos. Het verdict is hard: geen van de geëvalueerde modellen voldoet volledig aan de regelgeving van de Europese Unie, en sommige overtreden de Europese regels in tot 93% van de onderzochte gevallen. Van de twaalf geteste modellen behaalt Claude Opus 4.1 van Anthropic de beste score, met ongeveer 54% naleving, terwijl Gemini 3.1 Pro van Google uitkomt op 10%. Deze vaststelling volgt tien maanden na de inwerkingtreding van de AI Act-verplichtingen voor aanbieders van general-purpose modellen, die sinds 2 augustus 2025 van kracht zijn. Artikel 25 van de verordening, dat op 1 augustus 2024 in werking trad en vanaf 2 augustus 2026 volledig toepasselijk is, had de medeverantwoordelijkheid van de integrator al in de tekst verankerd: wat LARA verandert, is de overgang van theoretisch risico naar risico per model in cijfers.
Een raster van 3.000 scenario's, twaalf modellen, weinig overlevenden
LARA is gebaseerd op meer dan 3.000 scenario's die de belangrijkste risico's bestrijken waarop de GDPR en de AI Act zich richten. Het protocol plaatst elk model in agentische situaties waarin het juridische of regelgevende dilemma's moet navigeren: toestemming verkrijgen vóór gegevensverzameling, psychologische profilering vermijden, weigeren een gebruiker te manipuleren, kwetsbare doelgroepen beschermen en transparantie van geautomatiseerde beslissingen waarborgen. De meest frequent gedocumenteerde tekortkomingen hebben betrekking op het gebruik van persoonsgegevens zonder duidelijke rechtsgrond, het impliciet aanmaken van psychologische profielen en gedrag dat gebruikers kan beïnvloeden of manipuleren. De rangschikking is streng: tussen de top (Claude Opus 4.1) en de onderkant (Gemini 3.1 Pro) laten ook de modellen van OpenAI, Meta, Mistral AI, xAI en DeepSeek significante niet-nalevingspercentages zien in meerdere categorieën. Aithos, de non-profit stichting waarvan Daan Henselmans onderzoeksdirecteur is, publiceerde de studie op 27 mei 2026 op het eigen Substack-platform; het werk is niet peer-reviewed en heeft geen formele regelgevende accreditatie gekregen. De letterlijke uitspraak van de auteur vat de conclusie zonder omwegen samen: «Geen enkel toonaangevend model bereikt aanvaardbare niveaus van naleving in het licht van de AI Act en de Europese privacywetgeving» (vrije vertaling). Het bronartikel vermeldt noch de testdatum, noch de exacte versies van de geëvalueerde modellen, behalve de twee genoemde - een methodologische blinde vlek die de openbare documentatie van de tool tot op heden niet opheldert.
GDPR / AI Act-naleving — LARA-benchmark van Aithos (mei 2026, 3.000+ scenario's)
| Model | Uitgever | Nalevingsgraad |
|---|---|---|
| Claude Opus 4.1 | Anthropic | ~54% |
| Gemini 3.1 Pro | ~10% | |
| Modellen van OpenAI, Meta, Mistral AI, xAI, DeepSeek | Divers | Niet individueel gepubliceerd |
Geen van de 12 geteste modellen voldoet volledig aan de Europese vereisten. Sommige overtreden de regels in tot 93% van de gevallen. Bron: Aithos LARA benchmark, mei 2026.
AI Act artikel 25: de integrator wordt medeaanbieder, en wist dat al
Het centrale juridische mechanisme dat LARA operationeel maakt, is niet nieuw. Artikel 25, §1 van de AI Act, opgenomen in de verordening die op 1 augustus 2024 in werking trad en vanaf 2 augustus 2026 van toepassing is, bepaalt dat een uitrolverantwoordelijke die het beoogde gebruik van een AI-systeem met hoog risico wijzigt of er zijn merk op plaatst, medeaanbieder wordt. Concreet activeert deze kwalificatie rechtstreeks artikel 16, dat de basisverplichtingen van de aanbieder omschrijft: risicobeheer, technische documentatie en toezicht na het in de handel brengen. Een DPO die een general-purpose model integreert in een gebruik met hoog risico, erft via dit mechanisme hetzelfde bewijskader als de upstream-uitgever.
Bovenop deze gedeelde verantwoordelijkheid tussen integrator en aanbieder geldt parallel het regime voor aanbieders van general-purpose modellen. Artikel 53 legt sinds 2 augustus 2025 de specifieke verplichtingen vast voor aanbieders van general-purpose AI-modellen: documentatie, beleid inzake auteursrechtelijke naleving en een samenvatting van de trainingsdata. Bij niet-naleving begrenst artikel 101 van de verordening de boetes voor deze aanbieders op 3% van de wereldwijde jaaromzet of 15 miljoen euro, waarbij het hoogste bedrag geldt - een sanctiebevoegdheid die de Commissie echter pas vanaf 2 augustus 2026 zal uitoefenen.
Aithos legt de nadruk op de integrator-keten: «bedrijven die hun eigen AI-agents bouwen bovenop deze modellen kunnen ook juridisch aansprakelijk worden gesteld» (vrije vertaling). De stichting voegt daar, met een expliciete methodologische voorbehoud, aan toe dat «GenAI-systemen nog niet klaar zijn om te worden uitgerold in sterk gereguleerde omgevingen zonder aanvullende controles en waarborgen» (vrije vertaling). De medeverantwoordelijkheid bestond al in de tekst; LARA geeft er een per model gekwantificeerde maat aan - een analysekorrel die juridische afdelingen tot nu toe niet in deze vorm hadden, en die bruikbaar is als voorbereidende auditbijlage. Het is precies deze verschuiving, van theoretisch naar gedocumenteerd risico, die de situatie voor juridische teams verandert, meer dan de score zelf.
Voorgaande zaken, effectieve sancties en de opkomende compliance-laag
De LARA-vaststelling komt in een gespannen regelgevingslandschap terecht. In Italië had de Garante della Privacy in december 2024 een boete van 15 miljoen euro opgelegd aan OpenAI voor de verwerking van persoonsgegevens via ChatGPT, volgens de destijds gepubliceerde informatie, in het verlengde van de procedure die in 2023 was geopend - ActuIA documenteerde eerder al de eerste beperking van de dienst in Italië. Die sanctie werd in het eerste kwartaal van 2026 in beroep vernietigd door de Rechtbank van Rome op procedurele gronden: de Ierse Data Protection Commission was sinds februari 2024 de leidende toezichthouder voor OpenAI geworden, waardoor de Garante niet langer bevoegd was onder het GDPR-one-stop-shopmechanisme. De inhoudelijke bewijsvoering blijft daarmee volledig open. Aan de leverancierszijde had Meta er de voorkeur aan gegeven de Europese lancering van zijn multimodale Llama 3-modellen op te schorten in plaats van het drieluik DMA/GDPR/AI Act te trotseren - een signaal dat geografische ontwijking nog steeds een optie is voor spelers die de blootstelling te kostbaar achten. Aan de andere kant bereidt de markt zich voor: de start-up ZeroDrift, die middleware voor compliance ontwikkelt die tussen LLM's en eindgebruikers wordt gepositioneerd, kondigde volgens eigen communicatie begin juni 2026 een financieringsronde van 10 miljoen dollar aan, enkele dagen na de publicatie van LARA. Op 8 juni 2026 had geen van de genoemde leveranciers - Anthropic, Google, OpenAI, Meta, Mistral AI, xAI, DeepSeek - publiekelijk de methodologie van Aithos betwist, een score opgeëist of een alternatief protocol voorgesteld. De blokkade zit in een stilte van de tekst: de AI Act specificeert niet hoe de bewijslast wordt verdeeld tussen aanbieder van een general-purpose model en uitrolverantwoordelijke wanneer een schadegeval bij een eindgebruiker is vastgesteld. In dat vacuüm zullen de eerste zaken die vanaf 2 augustus 2026 voor de nationale toezichthouders komen, uitsluitsel moeten geven.