Waarom inkoop het moment is
De meeste AI-compliance-problemen worden niet gebouwd maar ingekocht. Op het moment van tekenen liggen de verhoudingen vast: wat de leverancier levert, wat u zelf moet regelen en wat er gebeurt als het misgaat. Alles wat u daar niet regelt, moet u later repareren tegen een slechtere prijs en met minder onderhandelingsruimte.
De EU AI Act maakt dit moment belangrijker dan het al was. Als gebruiker (deployer) van een AI-systeem draagt u eigen verplichtingen die u alleen kunt nakomen met medewerking van de leverancier. Die medewerking is gedeeltelijk wettelijk afdwingbaar, maar de praktische invulling hoort in het contract. Vandaar deze zeven vragen. Stel ze voordat u tekent, en leg de antwoorden vast.
Vraag 1: voor welk beoogd doel is dit systeem ontworpen?
Het beoogde doel is het scharnier van de hele wet. Het bepaalt de risicoclassificatie, en het bepaalt waar uw gebruikersrol ophoudt. Zet u het systeem in voor iets wat de leverancier niet heeft voorzien, dan kunt u via artikel 25 zelf aanbieder worden, met de volledige documentatie- en conformiteitslast die daarbij hoort.
Vraag daarom letterlijk: „Voor welk beoogd doel is dit systeem volgens uw documentatie ontworpen, en welke vormen van gebruik of aanpassing vallen daarbuiten?" Het antwoord hoort op papier te staan, niet in een verkoopgesprek. Hoe u vervolgens uw eigen rol bepaalt, staat in Ben ik aanbieder of gebruiker van AI?
Vraag 2: wat is de risicoclassificatie, en waarom?
Niet alleen de uitkomst, ook de redenering. Een serieuze leverancier kan uitleggen waarom het systeem wel of niet onder Annex III valt en wat dat voor u betekent. Wees alert op twee rode vlaggen: een classificatie zonder onderbouwing, en het argument dat de tool „alleen ondersteunend" is. Ondersteunend zijn is geen wettelijke categorie, en de uitzondering van artikel 6, lid 3 is smaller dan leveranciers vaak suggereren.
Vraag 3: wat levert u mij voor mijn artikel 26-verplichtingen?
Bij hoog-risicosystemen moet u als gebruiker menselijk toezicht inrichten, volgens de gebruiksinstructies werken en de werking monitoren. Dat kan alleen met materiaal van de leverancier: begrijpelijke gebruiksinstructies (artikel 13 verplicht die), uitleg van de beperkingen en foutmarges, en functionaliteit waarmee een mens kan ingrijpen of een uitkomst kan verwerpen.
Vraag concreet: welke instructies krijg ik, in welke taal, en welke voorzieningen voor menselijk toezicht zitten er in het product. Als het antwoord neerkomt op „de recruiter kan de uitkomst gewoon negeren", is het toezicht niet ontworpen maar gehoopt.
Vraag 4: hoe krijg ik de logs, en hoe lang bewaart u ze?
Dit is in mijn ervaring de vraag die het vaakst pijn oplevert, en daarom de belangrijkste. Hoog-risicosystemen moeten loggen (artikel 12), en als gebruiker moet u die logs ten minste zes maanden bewaren en kunnen overleggen (artikel 26, lid 6). In veel SaaS-contracten staan de logs echter bij de leverancier, met een bewaartermijn die de leverancier bepaalt en zonder exportmogelijkheid.
Dan heeft u een wettelijke plicht zonder de technische middelen om eraan te voldoen. Regel in het contract: exporteerbare logs in een bruikbaar formaat, een bewaartermijn van minimaal zes maanden en behoud van toegang bij contracteinde.
Vraag 5: welke conformiteitsdocumentatie kunt u tonen?
Voor hoog-risicosystemen hoort er een pakket te bestaan: technische documentatie (artikel 11), een doorlopen conformiteitsbeoordeling (artikel 43), een EU-conformiteitsverklaring (artikel 47) en CE-markering (artikel 48). U hoeft dat pakket niet zelf te beoordelen. U moet wel weten dat het bestaat en dat u het kunt inzien als een toezichthouder of een grote klant erom vraagt.
Een leverancier die hier vaag over doet terwijl het systeem duidelijk onder Annex III valt, verkoopt u een risico. De verplichtingen worden per 2 december 2027 breed gehandhaafd, en een systeem dat dan niet conform is, is uw operationele probleem.
Vraag 6: wat gebeurt er bij updates en nieuwe versies?
AI-producten veranderen sneller dan contracten. Een nieuwe modelversie kan de werking wezenlijk veranderen, en een wezenlijke wijziging kan de classificatie en de rolverdeling raken (artikel 25, artikel 3, punt 23). Vraag: hoe informeert u mij over wijzigingen die de werking of het beoogde doel raken, en heb ik de mogelijkheid een versie te weigeren of uit te stellen?
Koppel dit intern aan uw AI-register: elke gemelde wijziging is een herbeoordelingsmoment, geen mededeling om te archiveren.
Vraag 7: wat krijg ik mee als ik vertrek?
Exit-afspraken worden gemaakt als de relatie goed is, of helemaal niet. Regel vooraf: welke data en logs krijgt u mee bij einde contract, in welk formaat, binnen welke termijn, en wat wordt er bij de leverancier verwijderd. Voor de logs geldt de zes-maanden-plicht ook na een leverancierswissel. „De data staat in het platform" is geen exit-afspraak.
De checklist als inkoopgewoonte
Zeven vragen, zeven antwoorden op papier. Wie dit standaard onderdeel van inkoop maakt, bouwt zijn AI-dossier grotendeels vanzelf op. In de Nulmeting toetsen wij bestaande leverancierscontracten aan deze punten en leggen we per systeem vast waar de gaten zitten. De ervaring tot nu toe: vraag 4 over de logs levert in vrijwel elk traject een verrassing op, en bijna nooit een leuke.