Als er wordt gesproken over artificiële intelligentie (AI) dan gaat het vaak over de (aanstaande) AI Act en de compliance verplichtingen die daaruit voortvloeien. Waar minder aandacht naar uitgaat zijn contractuele afspraken die aanbieders en afnemers van AI-systemen met elkaar maken en hoe deze invloed kunnen hebben op de verdeling van verantwoordelijkheden en aansprakelijkheid tussen deze partijen. In deze blog gaan we dan ook kijken naar AI, contractuele voorwaarden en aansprakelijkheid in de praktijk.
Het juridisch kader
Met het oog op AI en aansprakelijkheid in algemene zin zijn verschillende wetten en richtlijnen relevant. Zo wordt er naast de AI Act ook een AI Liability Directive én een wijziging van de Product Liability Directive in- en doorgevoerd. Wil je hier meer over weten, klik dan hier. Verder zijn er ook aansprakelijkheidsregels zoals vastgelegd in het Burgerlijk Wetboek van toepassing in het geval een AI-systeem schade veroorzaakt.
Het ontstaan van aansprakelijkheid
Een AI-systeem zal in de meeste gevallen worden aangeboden als een op zichzelf staande IT-dienst óf zal deel uitmaken van een breder ingezette IT-dienst, bijvoorbeeld als onderdeel van een SaaS-dienst. In dergelijke gevallen worden de afspraken en voorwaarden over het gebruik van de IT-dienst en het AI-systeem vaak vastgelegd in een set (juridische) documenten. Denk hierbij aan een mantelovereenkomst, order document, service level agreement, verwerkersovereenkomst én algemene voorwaarden. Deze documenten zijn dan het fundament onder de samenwerking tussen de aanbieder en afnemer van de IT-dienst en bepalen in grote mate de verdeling van verantwoordelijkheden en aansprakelijkheden.
Net als bij andere IT-diensten kunnen ook bij het gebruik van een AI-systeem zaken fout gaan. Denk bijvoorbeeld aan de situatie dat een AI-systeem verkeerde beslissing neemt of fouten maakt in de verwerking van (persoons)gegevens. Dergelijke fouten kunnen resulteren in schade bij de afnemer van het AI-systeem, bijvoorbeeld in de vorm van reputatieschade of een door een toezichthouder opgelegde boete. In een dergelijk geval is het goed voorstelbaar dat de afnemer deze schade wil verhalen op de aanbieder van het AI-systeem. In een dergelijk scenario zullen zij in eerste instantie teruggevallen op de gemaakte contractuele afspraken.
Contractuele voorwaarden: Een praktijkvoorbeeld
Hoe zien dergelijke voorwaarden er in de praktijk dan uit? Om dit concreet te maken kijken we naar een aantal voorbeelden uit de ‘Modelbepalingen voor gemeenten voor verantwoord gebruik van Algoritmische toepassingen’ van de Gemeente Amsterdam. Hierin is onder andere het volgende bepaald:
Artikel 4. Kwaliteit van de Algoritmische toepassing
4.1. Opdrachtnemer verklaart dat de Algoritmische toepassing is ontwikkeld en functioneert op een wijze die in overeenstemming is met wet- en regelgeving.
4.2. Opdrachtnemer verklaart dat de Algoritmische toepassing volgens een gemotiveerde aanpak is ontwikkeld.
4.3. Opdrachtnemer verklaart dat de Algoritmische toepassing nauwkeurig en correct functioneert.
4.4. Opdrachtnemer verklaart dat de Algoritmische toepassing geschikt is voor het beoogde gebruik.
Bij het lezen van deze bepalingen valt met name op dat deze nogal algemeen zijn geformuleerd. Zo wordt in artikel 4.1 niet gespecificeerd op welke wet- en regelgeving deze verplichting precies ziet. Verder wordt in artikel 4.2 niet gespecificeerd wat wordt verstaan onder een ‘gemotiveerde aanpak’ bij de ontwikkeling van AI. Hiernaast zijn er verschillende manieren om de nauwkeurigheid en correctheid van een AI-systeem te meten, zoals aangegeven in artikel 4.3. Ook hier wordt niet gespecificeerd hoe deze metingen moeten worden uitgevoerd. Ten slotte kan het beoogde gebruik van een AI-systeem, zoals beschreven in artikel 4.4, aanzienlijk verschillen van het beoogde gebruik van andere IT-diensten, zoals een standaard SaaS-dienst. Zo wordt meestal beoogd dat de output van een AI-systeem extern gebruikt mag worden terwijl de gemiddelde SaaS-dienst enkel gebruikt mag worden voor interne zakelijke doeleinden. Deze onduidelijkheden kunnen in de praktijk leiden tot interpretatieverschillen en nalevingsproblemen.
In aanvulling op de bovenstaande verplichtingen is tevens het volgende bepaald in de gemeentelijke voorwaarden:
Artikel 7. Beheer van de Algoritmische toepassing
7.1. Indien Opdrachtnemer de Algoritmische toepassing in de vorm of als onderdeel van een dienst aanbiedt of beheer en onderhoud aan de Algoritmische toepassing verricht, staat Opdrachtnemer ervoor in dat de Algoritmische toepassing en de daarbij behorende documentatie gedurende de looptijd van de Overeenkomst aan de in artikel 4 genoemde voorwaarden blijft voldoen’
Deze bepaling brengt extra risico’s met zich voor de aanbieder van een AI-systeem. Immers zal een AI-systeem vrijwel altijd als een dienst worden aangeboden. Dit heeft tot gevolg dat dit artikel al snel van toepassing is en de aanbieder dus moet garanderen dat hij voldoet aan de (nogal algemene) verplichtingen uit artikel 4. Aangezien een garantie maakt dat de aanbieder geen beroep kan doen op overmacht leidt de formulering van deze verplichting tot juridische en financiële risico's voor de aanbieder. Mocht hij immers niet kunnen voldoen aan de verplichtingen uit artikel 4, dan zal hij daar aansprakelijk voor gehouden kunnen worden, ook als sprake is van overmacht aan zijn zijde.
Tot slot is het nog opvallend dat, ten aanzien van de verplichting als bedoeld in artikel 4.3, ook de AI Act hier een en ander over regelt. In artikel 15 van de AI Act is, voor hoog risico AI-systemen, namelijk het volgende bepaald:
Artikel 15 Nauwkeurigheid, robuustheid en cyberbeveiliging
AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.
Vergelijken we dit artikel met de verplichtingen zoals opgenomen in artikel 4.3 van de gemeentelijke voorwaarden dan valt op dat de risicogebaseerde benadering, zoals gehanteerd in de AI Act, niet is overgenomen in de tekst van de gemeente. Waar de AI Act erkent dat systemen nooit voor 100% foutloos kunnen werken en daarom een "passend niveau" van nauwkeurigheid, robuustheid en cybersecurity vereist, stelt de gemeente simpelweg dat de uitkomsten correct moeten zijn en dat het systeem goed moet werken. Hiernaast wordt in de bepaling van de gemeente geen onderscheid gemaakt naar de risicocategorie van het AI-systeem. Kortom legt de gemeente Amsterdam de contractuele lat hoger dan de lat die AI Act bepaalt.
De bovenstaande voorbeelden laten zien waarom het van belang is om duidelijke en gedetailleerde contractuele afspraken te maken wanneer een AI-systeem wordt aangeboden of gebruikt. Het kan je aansprakelijkheid vergroten of juist verkleinen. Anders gezegd je contracten zijn een middel om juridische, financiële en operationele risico's te beheersen. Maak daar gebruik van.
Lessons learned
Het ontwikkelen, leveren en gebruiken van AI-systemen omvat meer dan alleen naleving van de AI Act. In de praktijk zien we dat specifieke AI-voorwaarden worden ontwikkeld die de contractuele lat (zeer) hoog kunnen leggen. De bewoording van dit soort voorwaarden is essentieel om juridische, financiële en operationele risico's te beperken. Bedrijven moeten daarom niet alleen aandacht besteden aan naleving van de wetgeving, maar ook aan hun contracten. Zorg ervoor dat jouw contractuele afspraken duidelijk en specifiek zijn om aansprakelijkheidsrisico’s te voorkomen en om de veilige en effectieve inzet van AI-systemen te waarborgen.
De (gevolgen van) de AI Liability Directive (Directive 2022/0303) en de wijziging van de Product Liability Directive (Directive 2022/0302) worden in deze blog buiten beschouwing gelaten. Wil je hier meer over weten, klik dan hier
