Leveranciers

Welke vragen stelt u een AI-leverancier voordat u tekent?

Martijn Baaijens··bijgewerkt ·8 min lezen

Waarom inkoop het moment is

De meeste AI-compliance-problemen worden niet gebouwd maar ingekocht. Op het moment van tekenen liggen de verhoudingen vast: wat de leverancier levert, wat u zelf moet regelen en wat er gebeurt als het misgaat. Alles wat u daar niet regelt, moet u later repareren tegen een slechtere prijs en met minder onderhandelingsruimte.

De EU AI Act maakt dit moment belangrijker dan het al was. Als gebruiker (deployer) van een AI-systeem draagt u eigen verplichtingen die u alleen kunt nakomen met medewerking van de leverancier. Die medewerking is gedeeltelijk wettelijk afdwingbaar, maar de praktische invulling hoort in het contract. Vandaar deze zeven vragen. Stel ze voordat u tekent, en leg de antwoorden vast.

Vraag 1: voor welk beoogd doel is dit systeem ontworpen?

Het beoogde doel is het scharnier van de hele wet. Het bepaalt de risicoclassificatie, en het bepaalt waar uw gebruikersrol ophoudt. Zet u het systeem in voor iets wat de leverancier niet heeft voorzien, dan kunt u via artikel 25 zelf aanbieder worden, met de volledige documentatie- en conformiteitslast die daarbij hoort.

Vraag daarom letterlijk: „Voor welk beoogd doel is dit systeem volgens uw documentatie ontworpen, en welke vormen van gebruik of aanpassing vallen daarbuiten?" Het antwoord hoort op papier te staan, niet in een verkoopgesprek. Hoe u vervolgens uw eigen rol bepaalt, staat in Ben ik aanbieder of gebruiker van AI?

Vraag 2: wat is de risicoclassificatie, en waarom?

Niet alleen de uitkomst, ook de redenering. Een serieuze leverancier kan uitleggen waarom het systeem wel of niet onder Annex III valt en wat dat voor u betekent. Wees alert op twee rode vlaggen: een classificatie zonder onderbouwing, en het argument dat de tool „alleen ondersteunend" is. Ondersteunend zijn is geen wettelijke categorie, en de uitzondering van artikel 6, lid 3 is smaller dan leveranciers vaak suggereren.

Vraag 3: wat levert u mij voor mijn artikel 26-verplichtingen?

Bij hoog-risicosystemen moet u als gebruiker menselijk toezicht inrichten, volgens de gebruiksinstructies werken en de werking monitoren. Dat kan alleen met materiaal van de leverancier: begrijpelijke gebruiksinstructies (artikel 13 verplicht die), uitleg van de beperkingen en foutmarges, en functionaliteit waarmee een mens kan ingrijpen of een uitkomst kan verwerpen.

Vraag concreet: welke instructies krijg ik, in welke taal, en welke voorzieningen voor menselijk toezicht zitten er in het product. Als het antwoord neerkomt op „de recruiter kan de uitkomst gewoon negeren", is het toezicht niet ontworpen maar gehoopt.

Vraag 4: hoe krijg ik de logs, en hoe lang bewaart u ze?

Dit is in mijn ervaring de vraag die het vaakst pijn oplevert, en daarom de belangrijkste. Hoog-risicosystemen moeten loggen (artikel 12), en als gebruiker moet u die logs ten minste zes maanden bewaren en kunnen overleggen (artikel 26, lid 6). In veel SaaS-contracten staan de logs echter bij de leverancier, met een bewaartermijn die de leverancier bepaalt en zonder exportmogelijkheid.

Dan heeft u een wettelijke plicht zonder de technische middelen om eraan te voldoen. Regel in het contract: exporteerbare logs in een bruikbaar formaat, een bewaartermijn van minimaal zes maanden en behoud van toegang bij contracteinde.

Vraag 5: welke conformiteitsdocumentatie kunt u tonen?

Voor hoog-risicosystemen hoort er een pakket te bestaan: technische documentatie (artikel 11), een doorlopen conformiteitsbeoordeling (artikel 43), een EU-conformiteitsverklaring (artikel 47) en CE-markering (artikel 48). U hoeft dat pakket niet zelf te beoordelen. U moet wel weten dat het bestaat en dat u het kunt inzien als een toezichthouder of een grote klant erom vraagt.

Een leverancier die hier vaag over doet terwijl het systeem duidelijk onder Annex III valt, verkoopt u een risico. De verplichtingen worden per 2 december 2027 breed gehandhaafd, en een systeem dat dan niet conform is, is uw operationele probleem.

Vraag 6: wat gebeurt er bij updates en nieuwe versies?

AI-producten veranderen sneller dan contracten. Een nieuwe modelversie kan de werking wezenlijk veranderen, en een wezenlijke wijziging kan de classificatie en de rolverdeling raken (artikel 25, artikel 3, punt 23). Vraag: hoe informeert u mij over wijzigingen die de werking of het beoogde doel raken, en heb ik de mogelijkheid een versie te weigeren of uit te stellen?

Koppel dit intern aan uw AI-register: elke gemelde wijziging is een herbeoordelingsmoment, geen mededeling om te archiveren.

Vraag 7: wat krijg ik mee als ik vertrek?

Exit-afspraken worden gemaakt als de relatie goed is, of helemaal niet. Regel vooraf: welke data en logs krijgt u mee bij einde contract, in welk formaat, binnen welke termijn, en wat wordt er bij de leverancier verwijderd. Voor de logs geldt de zes-maanden-plicht ook na een leverancierswissel. „De data staat in het platform" is geen exit-afspraak.

De checklist als inkoopgewoonte

Zeven vragen, zeven antwoorden op papier. Wie dit standaard onderdeel van inkoop maakt, bouwt zijn AI-dossier grotendeels vanzelf op. In de Nulmeting toetsen wij bestaande leverancierscontracten aan deze punten en leggen we per systeem vast waar de gaten zitten. De ervaring tot nu toe: vraag 4 over de logs levert in vrijwel elk traject een verrassing op, en bijna nooit een leuke.

Bronnen

  1. Verordening (EU) 2024/1689, artikel 13 (transparantie en informatie aan gebruikers)
  2. Verordening (EU) 2024/1689, artikel 25 (verantwoordelijkheden in de AI-waardeketen)
  3. Verordening (EU) 2024/1689, artikel 26 (verplichtingen voor gebruikers)
  4. Verordening (EU) 2024/1689, artikel 12 en artikel 19 (logging en bewaring)
  5. Verordening (EU) 2024/1689, artikel 22 (gevolmachtigde vertegenwoordigers)

Vaak gestelde vragen

Kan ik mijn AI Act-verplichtingen contractueel bij de leverancier leggen?
Nee. Uw rol volgt uit wat u feitelijk doet, niet uit wat het contract zegt. De gebruikersverplichtingen van artikel 26 blijven bij u. Wat u wél contractueel regelt, is dat de leverancier u de middelen geeft om die verplichtingen na te komen: instructies, logtoegang en documentatie.
Mijn leverancier zegt dat de tool geen hoog risico is. Is dat dan geregeld?
Niet zonder onderbouwing. Vraag naar de redenering en toets die aan Annex III en artikel 6. De classificatie voor uw gebruik ligt uiteindelijk bij u. Een brochureclaim beschermt u niet bij een toezichthouder.
Wat als de leverancier buiten de EU zit?
De aanbieder blijft aanbieder, maar moet onder artikel 22 een gevolmachtigde vertegenwoordiger in de EU aanwijzen. Vraag wie dat is. Krijgt u geen antwoord, dan zegt dat iets over de volwassenheid van de leverancier.
Gelden deze vragen ook voor AI-functies binnen bestaande software?
Ja. Een AI-screener in uw recruitmentsysteem of een AI-module in uw servicedesk-tool valt onder dezelfde wet als een losse AI-applicatie. Juist deze functies komen vaak via een reguliere update binnen, zonder dat inkoop ernaar heeft gekeken.

Volgende stap

Een vraag over uw eigen situatie?

In een kennismaking van vijftien minuten lopen we kort uw situatie door. Geen verkoopgesprek, wel een eerste richting.

Meer in Werken met AI-leveranciers