Het ambitieuze plan van de Europese Unie (EU) voor de ‘Digital Decade’ (of: digitaal decennium) gaat over een visie op een digitale maatschappij met een menselijke maat. Betekent dit plan dat je je (inkoop- en algemene) voorwaarden moet aanpassen?
Al eerder gingen we in op de redenen waarom de EU dit plan uitrolt en legden we de wetgeving rond kunstmatige intelligentie (de AI Act) in grote lijnen uit.
De AI Act bevat regels over de ontwikkeling, de inzet en het gebruik van kunstmatige intelligentie, maar de wet kan ook impact hebben op de voorwaarden van organisaties die AI gebruiken. In dit artikel kijken we naar de AI Act en (algemene, of inkoop-) voorwaarden. Waar moet je rekening mee houden om in die context te kunnen voldoen aan de AI Act?
Een beetje achtergrond
Als je iets inkoopt, hanteer je inkoopvoorwaarden. Dat zijn de spelregels waar de aankoop aan moet voldoen. Als verkoper hanteer je algemene voorwaarden waarin je uitlegt onder welke omstandigheden je je product of dienst aanbiedt. Afhankelijk van welke rol je organisatie heeft, zou je de één of de ander moeten aanpassen om afspraken vast te leggen, ook bij het inkopen of aanbieden van AI-systemen.
Wat vervolgens precies wenselijk is om af te spreken, is afhankelijk van de verplichtingen die op jouw organisatie rusten en wat het risiconiveau van het betreffende AI-systeem is onder de AI Act. Die wet maakt namelijk een onderscheid tussen verschillende risiconiveaus: hoog, verboden en een laag restrisico (zoals we eerder al bespraken). In welk risiconiveau een systeem valt, is met name afhankelijk van hoe het AI-systeem wordt gebruikt.
Risico en verantwoordelijkheid
Deze risicogebaseerde aanpak, een trend binnen de wetgeving van de Digital Decade, moet ervoor zorgen dat innovatie niet te veel geraakt wordt door allerlei verplichtingen: afhankelijk van hoe ingrijpend het gebruik van AI (of data, enzovoorts) is, moet je aan meer of minder verplichtingen voldoen.
Daarnaast kent de AI Act rollen toe. Per rol verschillen de verplichtingen. Voor nu zijn de aanbieder (die brengt het AI-systeem onder eigen naam op de markt) en de gebruiksverantwoordelijke (die bepaalt de wijze van inzet van het AI-systeem) het meest relevant.
Het is uiteindelijk de eigen verantwoordelijkheid van iedere organisatie die AI gebruikt, inzet, of anderszins verkoopt, om te bepalen onder welk risiconiveau het AI-systeem valt, en welke rol (zoals gedefinieerd in de AI Act) ze zelf vervult.
De verdeling onder partijen: we hebben elkaar nodig
Zoals gezegd zijn de verplichtingen in de AI Act verdeeld over verschillende partijen. Het kan voorkomen dat je de andere partij nodig hebt om aan een van deze verplichtingen te kunnen voldoen, bijvoorbeeld omdat hiervoor bepaalde techniek vereist is. Je moet daarom zorgen dat je met de partij die je nodig hebt praktische afspraken maakt. We nemen als voorbeeld een aantal verplichtingen uit de AI Act waarbij dit het geval is:
- Transparantie – Als gebruiksverantwoordelijke moet je ervoor zorgen dat wanneer een AI-systeem deepfakes genereert, het duidelijk is dat de output door een AI-systeem is gegenereerd (artikel 50 lid 4 van de AI Act). Dat kan bijvoorbeeld met een watermerk. Die optie kun je wellicht zelf niet zomaar toevoegen in de output. Daarvoor heb je dan de aanbieder nodig. Dat die verantwoordelijkheid in zulke gevallen bij de aanbieder ligt, kun je vastleggen in je inkoopvoorwaarden.
- Logging – In AI-systemen met een hoog risico moet het technisch gezien mogelijk zijn om logging uit te voeren: alle acties die het systeem uitvoert, moeten traceerbaar zijn (artikel 12). In de praktijk is het echter de vraag of je dit als gebruiker zomaar kunt realiseren.Mocht je niet zomaar wijzigingen kunnen doorvoeren in het AI-systeem dan betekent dit dat de aanbieder dit moet inregelen. Als gebruiksverantwoordelijke kan je in je inkoopvoorwaarden opnemen dat de aanbieder hiervoor moet zorgen. Mocht de aanbieder dit uiteindelijk niet faciliteren, dan kun je die organisatie daarop aanspreken op basis van je voorwaarden.
- Post-marketmonitoring – Als aanbieder heb je de verplichting om, nadat het AI-systeem op de markt wordt gebracht, relevante data over het gebruik van het systeem te monitoren (artikel 72). Hiervoor is de medewerking van de gebruiksverantwoordelijke nodig. Daarom kun je in je algemene of verkoopvoorwaarden duidelijk maken dat de gebruiksverantwoordelijke jou als aanbieder informeert (periodiek en binnen een bepaalde termijn) over het gebruik en eventuele problemen met het AI-systeem. Denk bijvoorbeeld aan een meldplicht voor het geval dat het AI-systeem ontspoort of onacceptabele output levert.
- Training medewerkers – Aanbieders en gebruiksverantwoordelijken moeten zorgen dat hun personeel AI-geletterd zijn (artikel 4). Dat betekent ruwweg dat medewerkers snappen wat het AI-systeem doet, hoe het werkt en hoe ze met het AI-systeem om moeten gaan. Beide partijen zijn zelf verantwoordelijk om dit te regelen. De aanbieder is er dus niet verantwoordelijk voor dit te regelen voor de gebruiksverantwoordelijke. Dat die verantwoordelijkheid bij de gebruiksverantwoordelijke ligt, kun je als aanbieder van een AI-systeem benadrukken in je algemene voorwaarden.
Voorkom een kopie van de AI Act
Een valkuil als je contractuele afspraken maakt, is dat partijen in hun algemene voorwaarden de gehele AI Act overschrijven, terwijl die niet altijd volledig van toepassing is. Neem in je algemene voorwaarden dus alléén op wat noodzakelijk én daadwerkelijk aan de orde is. Anders neem je meer verplichtingen op dan vereist is.
Zo geldt bijvoorbeeld dat AI-systemen met hoog risico gebruiksinstructies moeten hebben (artikel 11 en bijlage IV). De aanbieder van het AI-systeem moet een document meeleveren waarin bijvoorbeeld het beoogde gebruik en de prestaties van het AI-systeem staan. Dit hoeft dus niet bij álle AI-systemen en hoeft dus ook niet altijd in je algemene voorwaarden opgenomen te worden.
Let er dus op dat je geen afspraken maakt over verplichtingen die irrelevant zijn voor jouw AI-systeem of organisatie.
Aan de slag
Omdat de AI Act op zichzelf geen onderlinge afspraken regelt tussen partijen, is het van groot belang dat partijen zelf afspraken maken die hen in staat stellen om de verplichtingen van de AI Act na te kunnen leven: algemene en inkoopvoorwaarden spelen hier een essentiële rol bij.
In de verkoop en het gebruik van AI-systemen zijn partijen vaak op een complexe manier met elkaar vervlochten. Weet daarom welke verplichtingen jouw organisatie draagt, en hoe de andere partijen hierbij relevant zijn. Door de partijen waarmee je samenwerkt zelf aan te kunnen spreken op hun verplichtingen – wat je bereikt door dit in de algemene voorwaarden vast te leggen – kun je het voldoen aan de AI Act vergemakkelijken, non-compliance voorkomen en daarmee je operationele en financiële risico’s beperken.
Mogelijk dat het je ook na het lezen van dit artikel nog duizelt wat er allemaal voor nodig is om verantwoord een AI-systeem in te kopen of te verkopen. Onze gratis set met voorbeeldbepalingen kan dan een goed startpunt zijn om je eigen algemene voorwaarden te vernieuwen.
