Elke organisatie die AI-diensten aan klanten levert, of AI-diensten van leveranciers afneemt, heeft contractuele bepalingen nodig die AI-specifieke risico's, verplichtingen en aansprakelijkheidsverdeling adresseren. Standaard softwarelicentieclàusules en generieke verwerkersovereenkomsten zijn niet ontworpen voor AI-systemen: zij adresseren de verdeling van verantwoordelijkheden tussen providers en deployers onder de AI Act niet, wijzen geen verantwoordelijkheid toe voor conformiteitsbeoordelingen en technische documentatie, regelen postmarktmonitoringverplichtingen niet en beheersen het gebruik van trainingsdata of de intellectuele eigendom van door AI gegenereerde output niet.
De EU AI Act schept uitdrukkelijke contractuele verplichtingen tussen providers en deployers van hoog-risico AI-systemen. Artikel 25 bepaalt dat providers contractueel kunnen overeenkomen dat deployers bepaalde providerverplichtingen namens hen uitvoeren, en stelt een kader vast voor de contractuele verdeling van verantwoordelijkheden. Zelfs waar de AI-systemen van een organisatie niet hoog-risico zijn, laten contracten die geen AI-specifieke kwesties adresseren — datagebruik, eigendom van output, aansprakelijkheid voor AI-fouten, modelwijzigingen — aanzienlijke risico's onverdeeld.
Bij de aanschaf van AI-diensten dient een organisatie te waarborgen dat het leverancierscontract de volgende AI-specifieke punten behandelt. Ten eerste, AI Act-naleving: wanneer het AI-systeem hoog-risico is of kan zijn, dient het contract te bevestigen of de provider de vereiste conformiteitsbeoordeling heeft afgerond, het systeem heeft geregistreerd in de EU AI-database en toegang verleent tot technische documentatie en gebruiksaanwijzingen. Het contract dient de leverancier te verplichten de klant te informeren als het systeem ingrijpend wordt gewijzigd op een wijze die de compliance-status of het risicoprofiel beïnvloedt.
Ten tweede, datagebruik en training: het contract dient te regelen of klantgegevens worden gebruikt voor het trainen, fine-tunen of verbeteren van het AI-model. Het gebruik van klantgegevens voor training zonder uitdrukkelijke toestemming is zowel een contractueel als een GDPR-compliance-vraagstuk. Waar klantgegevens persoonsgegevens omvatten, is het controller-processor-kader van de GDPR van toepassing en dient een Verwerkersovereenkomst aanwezig te zijn. Het contract dient duidelijk te specificeren of de leverancier invoergegevens, uitvoergegevens of gebruiksgegevens mag gebruiken voor andere doeleinden dan het leveren van de overeengekomen dienst.
Ten derde, eigendom van output: het contract dient te regelen wie IE-rechten bezit op door AI gegenereerde output. Dit is bijzonder belangrijk wanneer het AI-systeem content genereert (tekst, code, ontwerpen, analyses) die de klant wil commercialiseren of publiceren. Standaard softwarecontracten adresseren het eigendom van door AI gegenereerde output niet, en het standpunt onder het EU-auteursrecht is dat volledig door AI gegenereerde werken — zonder voldoende menselijke creatieve bijdrage — geen auteursrechtelijke bescherming genieten. Contractuele bepalingen dienen deze lacune te vullen.
Ten vierde, aansprakelijkheid en vrijwaringen: het contract dient de aansprakelijkheid voor AI-fouten en hallucinaties te verdelen, met name wanneer het AI-systeem wordt gebruikt voor het nemen of ondersteunen van ingrijpende beslissingen. Standaard aansprakelijkheidsbeperkingen opgesteld voor softwareservices dekken het risicoprofiel van AI-specifieke schade mogelijk onvoldoende: fouten die statistisch zeldzaam maar systematisch bevooroordeeld zijn, outputs die plausibel maar feitelijk onjuist zijn, of beslissingen die achteraf discriminatoir worden bevonden.
Organisaties die AI-diensten aan klanten leveren — als kernproduct of als ingebedde functie in een bredere dienst — dienen hun eigen AI Act-verplichtingen in het contract te adresseren. Wanneer het AI-systeem hoog-risico is, dient de provider te waarborgen dat de deployer de door de AI Act vereiste gebruiksaanwijzingen ontvangt, en dient deze levering in het contract te worden gedocumenteerd. Het contract dient de toegestane gebruiksdoeleinden van het AI-systeem te definiëren en duidelijk te maken dat gebruik buiten de gedefinieerde scope niet door de conformiteitsbeoordeling van de provider is gedekt.
Providers dienen ook de contractuele positie bij ingrijpende wijziging te regelen: wanneer de klant het AI-systeem aanpast of wijzigt tot het punt van ingrijpende wijziging in de zin van de AI Act, wordt de klant een provider met zijn eigen nalevingsverplichtingen. Het contract dient de grens tussen toegestane configuratie en ingrijpende wijziging te definiëren en de nalevingsgevolgen dienovereenkomstig toe te wijzen.
Waarschijnlijk niet volledig. Standaard GDPR-verwerkersovereenkomsten adresseren de rechtsgrond voor verwerking, beveiligingsmaatregelen, rechten van betrokkenen en meldplicht bij inbreuken, maar omvatten doorgaans geen AI-specifieke kwesties: gebruik van persoonsgegevens voor modeltraining of -verbetering, logging- en auditvereisten onder de AI Act, de verdeling van verantwoordelijkheden tussen provider en deployer, of de data-governance-vereisten voor de kwaliteit van trainingsdata. Bestaande verwerkersovereenkomsten dienen te worden herzien en aangevuld om deze lacunes te adresseren wanneer de verwerking AI-systemen betreft.
AI-vrijwaringsbepalingen dienen minimaal het volgende te dekken: inbreuk op IE-rechten van derden in de trainingsdata of output van het AI-systeem; regelgevingsboetes voortvloeiend uit de AI Act-nalevingsfouten van de provider; en verliezen als gevolg van AI-outputs die feitelijke fouten, discriminerende uitkomsten of IE-schendingen bevatten. De precieze omvang en verdeling van vrijwaringen zal afhangen van de commerciële relatie en de aard van het AI-systeem, maar partijen mogen niet aannemen dat standaard softwarevrijwaringsbepalingen deze risico's afdekken.
Naar EU-auteursrecht beschermt het auteursrecht werken die het resultaat zijn van de eigen intellectuele schepping van de auteur. Volledig door AI gegenereerde output zonder voldoende menselijke creatieve inbreng geniet geen auteursrechtelijke bescherming en valt in het publieke domein. Wanneer een mens voldoende creatieve sturing en redactionele bijdrage levert aan een door AI ondersteunde output, kan de menselijke auteur auteursrecht op het resultaat bezitten. Contracten dienen het eigendom van door AI gegenereerde output uitdrukkelijk te regelen, zonder te vertrouwen op impliciete bepalingen of analogieën met softwarelicenties, omdat de juridische positie in veel jurisdicties oprecht onzeker is en de commerciële inzet aanzienlijk.
Contracten dienen voor elk gedekt AI-systeem vast te stellen of de leverancier de AI Act-provider is en de klant de deployer, of dat verantwoordelijkheden gedeeld of anders verdeeld zijn. Zij dienen te bevestigen dat de provider de vereiste conformiteitsbeoordeling heeft afgerond en de compliance-status van het systeem zal handhaven. Zij dienen de provider te verplichten de klant te informeren over ingrijpende wijzigingen, compliance-incidenten of regelgevingsonderzoeken. En zij dienen het contractuele mechanisme te regelen waarmee de provider bepaalde providerverplichtingen aan de deployer delegeert, zoals toegestaan onder artikel 25 van de AI Act, met passende governance-vereisten.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
