Wanneer u een AI-systeem aanschaft — of het nu gaat om een SaaS-abonnement, een API-integratie, een gelicentieerd softwareproduct of een ontwikkeling op maat — moet het contract dat die inkoop regelt, problemen aanpakken waarvoor traditionele IT-overeenkomsten niet zijn ontworpen. Standaard softwarelicentieovereenkomsten en SaaS-voorwaarden hebben doorgaans betrekking op beschikbaarheid, prestatiestatistieken, gegevensverwerking en intellectueel eigendom. Ze hebben zelden betrekking op de specifieke wettelijke verplichtingen die de AI-wet oplegt aan aanbieders en implementatoren, de unieke risico's die AI-systemen creëren (vooringenomenheid, verslechtering van de nauwkeurigheid, onverklaarbare resultaten) of de verdeling van verantwoordelijkheden tussen partijen in de AI-waardeketen.
Naarmate de bepalingen van de AI-wet van kracht worden — met name de systeemvereisten met een hoog risico vanaf augustus 2026 — moet elk AI-inkoopcontract bepalingen bevatten die betrekking hebben op het regelgevingskader. In dit artikel worden de belangrijkste clausules beschreven waarmee u rekening moet houden.
De meest fundamentele AI-specifieke bepaling is de garantie van de provider met betrekking tot de naleving van de AI-wet. Als het AI-systeem als hoog risico is geclassificeerd, moet de aanbieder garanderen dat hij de vereiste conformiteitsbeoordeling heeft uitgevoerd, dat het systeem de CE-markering draagt, dat het systeem is geregistreerd in de EU-databank voor AI-systemen met een hoog risico, dat hij de op grond van artikel 11 vereiste technische documentatie heeft opgesteld en bijhoudt, dat het systeem is ontworpen om te voldoen aan de vereisten voor risicobeheer, gegevensbeheer, transparantie, menselijk toezicht, nauwkeurigheid, robuustheid en cyberbeveiliging, en dat hij onderhoud indien nodig een monitoringsysteem na het in de handel brengen.
Voor GPAI-modellen moet de garantie de naleving van de transparantie- en documentatievereisten van hoofdstuk V dekken, waaronder de samenvatting van de trainingsgegevens en het nalevingsbeleid inzake auteursrechten.
Voor alle AI-systemen moet de aanbieder, ongeacht de risicoclassificatie, aangeven dat het systeem voldoet aan de toepasselijke AI-wetgeving (inclusief de regels voor verboden praktijken en transparantieverplichtingen) en dat het zal blijven voldoen zodra verdere bepalingen van kracht worden.
Deze garanties moeten specifiek zijn in plaats van generiek. Een algemene verklaring dat de provider voldoet aan alle toepasselijke wetten is minder nuttig dan specifieke verklaringen over de conformiteitsbeoordelingsstatus, risicoclassificatie en beschikbaarheid van documentatie.
De AI-wet vereist dat providers de implementatoren uitgebreide gebruiksinstructies geven (artikel 13) en vereist dat de implementatoren het systeem gebruiken in overeenstemming met die instructies (artikel 26). Het contract moet ervoor zorgen dat de provider gebruiksinstructies verstrekt die voldoen aan de vereisten van de AI-wet, dat technische documentatie beschikbaar is voor de implementator voor zover dat nodig is voor de naleving, dat de provider het beoogde doel, de mogelijkheden, beperkingen en bekende risico's van het systeem bekendmaakt, dat de aanbieder de implementator op de hoogte stelt van alle wezenlijke wijzigingen in het systeem die van invloed zijn op zijn risicoprofiel of nalevingsstatus, en dat de implementator toegang heeft tot informatie die nodig is om aan zijn eigen AI-verplichtingen te voldoen (monitoring, logging, fundamenteel rechten, effectbeoordeling, transparantie voor betrokken personen).
Als het AI-systeem persoonsgegevens verwerkt, moet het contract een gegevensverwerkingsovereenkomst (DPA) bevatten die voldoet aan de GDPR-vereisten. Naast de standaard DPA-bepalingen moeten AI-specifieke gegevensclausules ook betrekking hebben op wie verantwoordelijk is voor de kwaliteit en representativiteit van trainingsgegevens, of de aanbieder de gegevens van de ontwikkelaar gebruikt voor training of verfijning (en zo ja, onder welke voorwaarden en beperkingen), hoe door de implementator verstrekte invoergegevens worden verwerkt (opgeslagen, verwerkt, gebruikt voor modelverbetering of verwijderd), en of de trainingsgegevens van de aanbieder rechtmatig zijn verkregen en voldoen aan de OPDM uitsluitingsverplichtingen op grond van de DSM-richtlijn.
AI-specifieke IP-bepalingen moeten betrekking hebben op verschillende vragen die in traditionele IP-clausules niet worden behandeld. Wie is eigenaar van het intellectuele eigendom van de output die door het AI-systeem wordt gegenereerd wanneer het door de implementator wordt gebruikt? Als de provider de gegevens van de implementator gebruikt om het model te trainen of te verbeteren, behoudt de implementator dan de rechten op die gegevens en eventuele verbeteringen die daaruit voortvloeien? Biedt de provider een IP-vergoeding voor claims dat de output van het AI-systeem inbreuk maakt op intellectuele eigendomsrechten van derden? Voldoen de trainingsgegevens van de provider aan de IP-normen: heeft de aanbieder de nodige licenties verkregen of is hij uitgegaan van geldige uitzonderingen (zoals de TDM-uitzondering)?
IP-schadeloosstelling voor door AI gegenereerde output is een bijzonder belangrijk onderhandelingspunt. Sommige aanbieders bieden ruime schadeloosstelling voor IP-inbreukvorderingen die verband houden met de output van het systeem. Andere sluiten outputgerelateerde claims volledig uit of beperken hun blootstelling. De risicoblootstelling van de implementator hangt af van hoe de door AI gegenereerde output wordt gebruikt: het publiceren van door AI gegenereerde inhoud, het gebruik van door AI gegenereerde code in producten of het vertrouwen op door AI gegenereerde ontwerpen creëert allemaal verschillende risicoprofielen.
AI-systemen kunnen schade aanrichten op manieren die traditionele software doorgaans niet doet: vooringenomen beslissingen, onnauwkeurige resultaten die worden gebruikt voor gevolgbeslissingen, onverklaarbare aanbevelingen die niet kunnen worden gerechtvaardigd voor toezichthouders of betrokken personen. In het contract moet de aansprakelijkheid voor deze risico's duidelijk worden verdeeld.
De belangrijkste bepalingen zijn onder meer de aansprakelijkheid voor niet-naleving van de AI-wet (wie draagt de kosten van boetes, herstelmaatregelen en handhavingsmaatregelen?) , aansprakelijkheid voor systeemfouten (onnauwkeurigheid, vooringenomenheid, beveiligingsproblemen), schadeloosstelling voor claims van betrokken personen (betrokkenen, sollicitanten, consumenten), beperking van aansprakelijkheidsbepalingen die zijn afgestemd op de specifieke risico's van het AI-systeem (standaardbeperkingsclausules behandelen mogelijk niet voldoende AI-specifieke risico's), en verzekeringsvereisten (heeft de provider een adequate aansprakelijkheidsverzekering voor AI-gerelateerde claims?).
De toewijzing van primaire verplichtingen aan de aanbieder en secundaire verplichtingen aan de implementator door de AI-wet moet worden weerspiegeld in het contractuele aansprakelijkheidskader. Maar het contract kan het risico tussen de partijen gedetailleerder verdelen dan de verordening: de provider kan bijvoorbeeld een grotere aansprakelijkheid op zich nemen voor systeemdefecten, terwijl de implementator de aansprakelijkheid op zich neemt voor het gebruik van het systeem buiten het beoogde doel.
Voor AI-systemen met een hoog risico vereist de AI-wet dat implementatoren menselijk toezicht uitvoeren en de werking van het systeem controleren. Het contract moet deze verplichtingen ondersteunen door ervoor te zorgen dat de provider het systeem zo ontwerpt dat effectief menselijk toezicht mogelijk is, dat de provider de informatie beschikbaar stelt die nodig is voor monitoring (prestatiestatistieken, driftindicatoren, incidentwaarschuwingen), dat de provider de uitbater toegang verleent tot systeemlogboeken zoals vereist op grond van artikel 12, en dat de provider meewerkt aan de monitoringactiviteiten van de implementator en snel reageert op meldingen van problemen.
Gezien de complexiteit van AI-systemen en de moeilijkheid om de naleving van buitenaf te controleren, moeten implementatoren overwegen om auditrechten op te nemen die hen (of hun agenten) in staat stellen te verifiëren of de aanbieder de AI-wet en de contractuele verplichtingen naleeft. De auditbepalingen moeten de reikwijdte van de audit specificeren (technische documentatie, conformiteitsbeoordelingsdossiers, gegevensbeheerpraktijken), de frequentie en kennisgevingsvereisten, toegang tot relevant personeel en systemen, vertrouwelijkheidsbescherming en de gevolgen van bevindingen van niet-naleving.
AI-systemen zijn niet statisch. Modellen worden bijgewerkt, bijgeschoold en verfijnd. In het contract moet worden beschreven hoe wijzigingen in het AI-systeem aan de implementator worden meegedeeld, of voor materiële wijzigingen de toestemming van de implementator is vereist of alleen een kennisgeving, of een nieuwe conformiteitsbeoordeling wordt geïnitieerd door substantiële wijzigingen (zoals vereist door de AI-wet), en het recht van de implementator om updates te weigeren die het risicoprofiel of het beoogde doel van het systeem wijzigen.
Wanneer de contractuele relatie eindigt, moet de implementator in staat zijn om over te schakelen naar een alternatief systeem of de capaciteit intern in te zetten. AI-specifieke exitbepalingen moeten betrekking hebben op de teruggave of verwijdering van de gegevens van de implementator (inclusief alle gegevens die worden gebruikt voor de verfijning), toegang tot modelconfiguraties of parameters die de implementator nodig heeft voor continuïteit, overgangsondersteuning om ervoor te zorgen dat de implementator tijdens de migratieperiode aan zijn lopende AI-wetverplichtingen kan voldoen, en gegevensportabiliteit in formaten waarmee de implementator de functionaliteit opnieuw kan creëren of repliceren met een andere provider.
In de praktijk komt het onderhandelen over AI-clausules vaak neer op verschillende belangrijke spanningen. Aanbieders geven er de voorkeur aan hun garanties en verklaringen te beperken tot wat ze kunnen controleren; implementatoren hebben garanties nodig die hun blootstelling aan regelgeving dekken. Aanbieders geven er de voorkeur aan de aansprakelijkheid voor AI-output te beperken; implementatoren hebben bescherming nodig tegen claims die voortvloeien uit het vertrouwen op die output. Aanbieders verzetten zich tegen brede auditrechten; implementatoren hebben verificatiemechanismen nodig om aan hun eigen nalevingsverplichtingen te voldoen.
De juiste balans hangt af van het specifieke systeem, de risicoclassificatie en de relatieve onderhandelingspositie van de partijen. Maar het uitgangspunt moet altijd een duidelijk begrip zijn van hoe de AI-wet verplichtingen tussen provider en implementator verdeelt — en een contract dat die toewijzing weerspiegelt en aanvult.
Als u AI-inkoopcontracten moet herzien of erover moet onderhandelen, neem contact op of een vergadering plannen met ons team.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
