Elon Musk’s Grok AI onder vuur wegens deepfake-schandaal – een juridische analyse

Grok, de chatbot van Elon Musks AI-bedrijf xAI die is geïntegreerd in X, ligt wereldwijd onder vuur vanwege misstanden rond deepfake-content. Gebruikers van de bot blijken in staat om personen op foto’s via prompts te laten uitkleden, zonder toestemming van de betrokkenen. Musk lijkt zich daar weinig van aan te trekken. Dat leidt tot veel ophef, en inmiddels diverse overheidsmaatregelen. Ondanks de controverse kondigt het Amerikaanse Pentagon nu trots aan dat Grok zal worden ingezet binnen de nationale defensie.

De feiten op een rij

De ophef rond Grok begon met de introductie van Spicy Mode: nieuwe beeldgenererende en -bewerkende functies. Gebruikers bleken het systeem te kunnen inzetten voor het maken van seksueel expliciete afbeeldingen van echte personen, vaak zonder enige vorm van toestemming. In sommige gevallen gaat het zelfs om minderjarigen.

De ingebouwde guardrails blijken ontoereikend, althans naar Europese maatstaven. Grok geeft gehoor aan prompts die andere grote AI-systemen juist blokkeren. Dit relatief open moderatiebeleid, gecombineerd met het enorme bereik van X, zorgt ervoor dat gegenereerde beelden zich snel kunnen verspreiden, tot grote onrust.

Verschillende overheden hebben al aan de bel getrokken:

Europa

• Europese Unie verplicht X om alle interne documentatie en data rond Grok tot eind 2026 te bewaren. De woordvoerder van de Europese Commissie noemde de Spicy Mode eerder al “illegaal”. Een officieel onderzoek blijft echter nog uit.
  
  

• Verenigd Koninkrijk start via Ofcom een onderzoek naar mogelijke schendingen van de Online Safety Act, die bedrijven verplicht om illegale content te bestrijden.
  
  

• Frankrijk deelt Grok-gerelateerde deepfakes met justitie en waarschuwt toezichthouder Arcom om naleving van de DSA te toetsen.
  
  

• Duitsland roept de Europese Commissie op om juridische stappen te zetten en waarschuwt voor de “industrialisatie van seksuele intimidatie” via AI.
  
  

• Italië waarschuwt dat het (laten) maken van ‘undressed’ deepfakes zonder toestemming kan neerkomen op ernstige privacyschendingen en strafbare feiten.
  
  

Azië

• India eist verwijdering van obscene Grok-content en rapportage over de genomen maatregelen binnen 72 uur.
  
  

• Indonesië heeft Grok geblokkeerd om vrouwen en kinderen te beschermen tegen AI-gegenereerde nepporno, onder verwijzing naar strikte anti-pornowetgeving.
  
  

• Maleisië heeft Grok tijdelijk geblokkeerd wegens herhaald misbruik van Grok voor het maken van obscene en onvrijwillige beelden, waaronder van minderjarigen.
  
  

Oceanië

• Australië start via toezichthouder eSafety een onderzoek naar Grok-gegenereerde “digitally undressed” deepfakes en beoordeelt deze onder het regime van image-based abuse.

De snelheid en de eensgezindheid waarmee overheden reageren onderstreept hoe ernstig deze zaak wordt genomen.

Inmiddels heeft xAI de functie om met Grok afbeeldingen te genereren en te bewerken beperkt tot betalende gebruikers, om beter toezicht te kunnen houden. Reuters meldt echter dat het X-gebruikers desondanks is gelukt om seksuele afbeeldingen te laten genereren.

Juridische kernvragen

De controverse rond Grok dwingt overheden tot reflectie op fundamentele juridische vragen. Centraal staat niet alleen wat gebruikers doen met het systeem, maar ook wat de aanbieder nalaat te voorkomen.

Platformaansprakelijkheid

Traditioneel beroepen platformaanbieders zich op het uitgangspunt dat zij niet verantwoordelijk zijn voor door gebruikers geplaatste inhoud. Maar in Europa is dat uitgangspunt de afgelopen jaren ingrijpend aangescherpt.

Onder de Digital Services Act (DSA) gelden voor grote platforms zoals X verhoogde zorgplichten:

• Art. 34 DSA verplicht tot systematische risicoanalyse bij maatschappelijke risico’s zoals de verspreiding van illegale content. Hieronder valt ook de verspreiding van onvrijwillige seksuele deepfakes (zie de strafrechtbespreking hieronder).
  
  

• Art. 35 DSA vereist dat risico's actief worden beperkt door passende maatregelen.
  
  

• Art. 16-17 DSA verplichten tot snelle verwijdering na melding.

Wanneer een platform een AI-systeem integreert dat structureel wordt gebruikt voor het maken van onvrijwillige intieme beelden, ontstaat de vraag of nog wel kan worden gesproken van incidenteel misbruik. Het niet of onvoldoende inbouwen van effectieve guardrails kan dan worden gezien als nalatigheid in risicobeheersing, en daarmee als schending van de DSA-zorgplichten. Een dergelijke schending kan worden bestraft met een bestuurlijke boete tot 6% van de wereldwijde jaaromzet (art. 52).

Die beoordeling wordt versterkt door de AI Act. Artikel 50 verplicht aanbieders van generatieve AI (in dit geval xAI) tot transparantie en het nemen van maatregelen om misbruik te voorkomen. Voor zover Grok als high risk AI en general purpose AI mét systeemrisico’s kan worden aangemerkt (wat voor chatbots als Grok niet snel wordt aangenomen) moet ook worden voldaan aan artikelen 9 en 10, en 55 met betrekking tot risicomanagement en data governance. Ook schendingen van deze bepalingen kunnen leiden tot zware sancties, waaronder bestuurlijke boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van de aard van de overtreding (art. 99).

Strafrecht

In Nederland en veel andere landen wordt het verspreiden van seksuele deepfakes juridisch gelijkgesteld aan het verspreiden van onvrijwillige seksuele beelden. Dit is strafbaar gesteld in artikel 139h Sr. Gebruikers die dergelijke deepfakes laten genereren, riskeren dan ook strafrechtelijke vervolging. Dat geldt temeer wanneer het gaat om seksuele deepfakes van minderjarigen. In vrijwel alle rechtsstelsels geldt een absoluut verbod op het vervaardigen en verspreiden van seksueel getint beeldmateriaal van minderjarigen; in Nederland is dit geregeld in artikelen 240b en 240c Sr.

De vraag is hoe het zit met xAI als aanbieder van een AI-systeem dat structureel illegale content mogelijk maakt. Strafrechtelijke aansprakelijkheid van bedrijven kent hoge drempels, maar is niet ondenkbaar. In Nederland kan een rechtspersoon op grond van artikel 51 Strafrecht worden vervolgd wanneer strafbare feiten redelijkerwijs aan hem kunnen worden toegerekend. Daarbij wordt onder meer gekeken naar de mate van zeggenschap over het systeem en de vraag of het bedrijf voldoende maatregelen heeft genomen om misbruik te voorkomen.

In situaties waarin aanbieders ondanks duidelijke signalen nalaten om effectieve beperkingen in te bouwen, kan bovendien sprake zijn van voorwaardelijk opzet of schuld in strafrechtelijke zin. Zeker wanneer het gaat om ernstige feiten, zoals het faciliteren van seksuele deepfakes of content met minderjarigen, wordt de lat voor zorgvuldigheid hoog gelegd. In dat licht is strafrechtelijke aansprakelijkheid van aanbieders van generatieve AI een reële mogelijkheid.

Privacyrecht

Ook het privacyrecht speelt een zelfstandige rol in de Grok-controverse. Foto’s van identificeerbare personen zijn onder de AVG persoonsgegevens. Het uploaden en verwerken daarvan voor het genereren van seksuele deepfakes mist elke geldige verwerkingsgrondslag in de zin van artikel 6. Toestemming ontbreekt vrijwel altijd, en van een gerechtvaardigd belang kan bij dit type gebruik moeilijk sprake zijn.

Voor platforms betekent dit dat de verantwoordelijkheid niet ophoudt bij het verwijderen van content achteraf. Onder artikel 25 en 32 AVG rust een plicht om passende technische en organisatorische maatregelen te treffen om misbruik te voorkomen. Wanneer een AI-systeem structureel faciliteert dat beelden van derden worden misbruikt voor “undressing”-prompts, kan dat worden gezien als tekortschietende naleving van die plichten.

Schending van de AVG kan leiden tot bestuurlijke boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet (art. 83), naast mogelijke civiele aansprakelijkheid tegenover slachtoffers.

Grok naar het Pentagon

Kort na de ophef volgde een opmerkelijke aankondiging: de Verenigde Staten willen Grok integreren in defensie. Defensieminister Pete Hegseth maakte samen met Elon Musk bekend dat het model wordt opgenomen in het generatieve AI-programma van het Pentagon, met mogelijke inzet voor cyberoperaties en ondersteuning van militaire besluitvorming.

De politieke framing was veelzeggend. Hegseth benadrukt dat de AI van het Pentagon “niet woke” zal zijn en dat ideologische beperkingen geen obstakel mogen vormen voor militaire toepassingen. Daarmee werd Grok zowel technisch als symbolisch gepositioneerd als alternatief voor de in zijn ogen terughoudende modellen van andere techbedrijven.

Het spanningsveld kan nauwelijks groter zijn. Terwijl Europa onderzoekt of Grok de wet overtreedt wegens ernstige misstanden, ziet de Verenigde Staten hetzelfde systeem als strategisch instrument in een wereldwijde technologische wedloop.

Afsluitend

De reactie van xAI op de wereldwijde backlash laat zien hoe groot de druk inmiddels is. Het bedrijf heeft aangekondigd dat de mogelijkheden om met Grok afbeeldingen te genereren en te bewerken alleen nog beschikbaar zijn voor betalende gebruikers. Hoewel deze stap wordt gepresenteerd als een manier om misbruik beter te kunnen controleren, neemt dit niet weg dat veel gebruikers nog steeds gebruik kunnen maken van de controversiële functies. In de woorden van de Europese Commissie:

"Limiting the image generation and editing to paying subscribers, this doesn't change our fundamental issue, paid subscription or non-paid subscription, we don't want to see such images”.