Responsible AI Platform

AI inkoop en contracten: hoe borg je compliance aan de voorkant

Ā·Ā·9 min leestijd
Delen:
Engelse versie niet beschikbaar

Dit is aflevering 6 van onze serie 'AI in de Publieke Sector'. In de vorige aflevering bespraken we menselijk toezicht bij AI-systemen. Deze week duiken we in de cruciale rol van inkoop en contracten bij AI-compliance.

De blinde vlek bij AI-inkoop

Bij de aanschaf van een nieuwe HR-applicatie vroeg niemand van de gemeente Rivierstad destijds of er AI in zat. Pas toen een medewerker een melding kreeg met een "fit score" voor een interne sollicitant, werd duidelijk dat de softwareleverancier een embedded AI-module had toegevoegd. Het contract? Dat rept met geen woord over explainability, bias-logs of een stopknop.

Deze casus staat niet op zichzelf: bij veel publieke organisaties sluipen AI-functionaliteiten binnen via SaaS-pakketten zonder dat juridische of ethische eisen vooraf zijn gesteld. Het gevolg is dat organisaties achteraf moeten problemen oplossen die ze aan de voorkant hadden kunnen voorkomen.

De realiteit is dat veel inkoop- en contractteams nog niet zijn toegerust om AI-gerelateerde risico's te herkennen, laat staan om deze contractueel af te dekken. Tegelijkertijd maken leveranciers steeds vaker gebruik van AI-functionaliteiten zonder dit expliciet te communiceren. Dit creƫert een gevaarlijke blinde vlek in de compliance-keten.

De AI Act en de ketenverantwoordelijkheid

De EU AI Act maakt korte metten met dat gemak. Deployers (gebruikers) van high-risk AI-systemen moeten kunnen aantonen dat het systeem aan de wet voldoet. Dit geldt Ć³Ć³k als het model via een leverancier komt. Inkoop is dus geen technische bijzaak maar het startpunt van compliance.

De wet introduceert een duidelijke ketenverantwoordelijkheid waarbij elke partij in de AI-waardeketen specifieke verplichtingen heeft. Providers moeten zorgen voor conformiteitsbeoordelingen en CE-markering, maar deployers blijven verantwoordelijk voor correct gebruik en monitoring. Als een aanbieder niet kan leveren wat je nodig hebtā€”denk aan bias logs of FRIA-inputā€”dan zit jouw organisatie straks met de gebakken peren bij een audit of incident.

Deze ketenverantwoordelijkheid betekent dat compliance niet kan worden afgeschoven op de leverancier. Organisaties moeten actief eisen stellen en deze ook kunnen verifiƫren. Dit vereist een fundamentele verschuiving in hoe we over inkoop en contractering denken: van passieve afnemer naar actieve compliance-partner.

Welke eisen horen standaard in je contract?

Effectieve AI-contracten gaan verder dan standaard leveringsvoorwaarden. Ze moeten specifieke technische en organisatorische maatregelen borgen die compliance mogelijk maken. Hier zijn de essentiƫle elementen:

Explainability en transparantie

Het systeem moet een begrijpelijke rationale per beslissing kunnen tonen. Geen black box, maar een model dat uitlegt waarom een bepaald resultaat is gegeven. Dit betekent dat leveranciers moeten kunnen aantonen welke factoren hebben bijgedragen aan een specifieke output en in welke mate.

Contractueel moet je vastleggen dat explainability-functies beschikbaar zijn voor eindgebruikers en dat deze uitleg voldoet aan de eisen van de AI Act. Denk aan real-time uitleg van beslissingen, identificatie van de belangrijkste beĆÆnvloedende factoren, en mogelijkheden voor gebruikers om uitleg op te vragen.

Bias- en performance monitoring

Leveranciers moeten structureel logs aanleveren waarin bias checks, accuracy, false positive/negative rates en datadrift zichtbaar zijn. Deze logs moeten niet alleen beschikbaar zijn, maar ook regelmatig worden geĆ¼pdatet en geanalyseerd.

Stel eisen aan de frequentie van monitoring (bijvoorbeeld maandelijks), de metrics die gerapporteerd moeten worden, en de drempelwaarden waarbij actie ondernomen moet worden. Zorg dat je toegang hebt tot ruwe data zodat je eigen analyses kunt uitvoeren.

Mitigatie-opties en correctiemogelijkheden

Eis dat er functies zijn voor post-processing correcties of calibraties en dat deze technisch toegankelijk zijn voor de deployer. Dit omvat mogelijkheden om bias te corrigeren, beslissingen handmatig te overrulen, en het model bij te stellen op basis van feedback.

Belangrijk is dat deze mitigatie-opties niet alleen theoretisch bestaan, maar ook praktisch bruikbaar zijn voor jouw organisatie. Contracteer daarom ook training en ondersteuning bij het gebruik van deze functies.

Stopknop en shadow mode

De mogelijkheid om een model onmiddellijk te pauzeren zonder afhankelijkheid van de leverancier is cruciaal. Shadow mode-opties om nieuwe versies eerst zonder impact te testen zijn eveneens essentieel voor verantwoorde implementatie.

Een effectieve stopknop betekent dat jouw organisatie zelfstandig kan ingrijpen bij problemen, zonder te hoeven wachten op de leverancier. Shadow mode stelt je in staat om updates en wijzigingen eerst te testen voordat ze live gaan.

Data governance en kwaliteitseisen

Beschrijf welke brondata, annotatieprocessen en samplingstrategieƫn leveranciers moeten documenteren. Data governance is de basis van betrouwbare AI, dus stel hoge eisen aan documentatie en traceerbaarheid.

Dit omvat inzicht in de herkomst van trainingsdata, de methoden voor data-annotatie, bias-checks in de dataset, en procedures voor data-updates. Zorg dat je kunt verifiƫren dat de data representatief is voor jouw use case.

Auditrecht en rapportage

Contractueel vastgelegde audits, met bijbehorende rapportages die aansluiten bij de AI Act en jouw interne algoritmeregister. Auditrecht geeft je de mogelijkheid om onafhankelijk te verifiƫren dat het systeem voldoet aan de afgesproken eisen.

Definieer de scope van audits, de frequentie, en wie deze mag uitvoeren. Zorg dat rapportages in een format komen dat direct bruikbaar is voor compliance-doeleinden en transparantieregistraties.

Hoe verwerk je dit in je aanbesteding?

Een succesvolle AI-aanbesteding begint met grondige voorbereiding en duidelijke eisen. De traditionele aanpak van functionele specificaties volstaat niet voor AI-systemen die inherent complexer en minder voorspelbaar zijn.

AI-vragenlijst en marktverkenning

Start met een AI-vragenlijst bij marktverkenning: welke AI-functionaliteiten zitten erin, hoe worden ze geborgd, wat is de keten van (sub)leveranciers? Deze fase is cruciaal om te begrijpen wat de markt kan bieden en waar de risico's liggen.

Belangrijke vragen zijn: Welke AI-technologieƫn worden gebruikt? Hoe wordt bias voorkomen en gemonitord? Welke data wordt gebruikt voor training? Hoe wordt explainability geborgd? Welke certificeringen heeft de leverancier? Wie zijn de subleveranciers in de AI-keten?

Programma van eisen en gunningscriteria

Vervolgens veranker je de AI-eisen in je programma van eisen en gunningscriteria. Maak onderscheid tussen must-haves (bijvoorbeeld conformiteit met de AI Act) en nice-to-haves (bijvoorbeeld geavanceerde explainability-features).

Weeg compliance-aspecten zwaar mee in de gunning. Een goedkope oplossing die niet voldoet aan de AI Act wordt uiteindelijk veel duurder door compliance-problemen en mogelijke sancties.

Modeldocumenten en standaardisering

Voeg modeldocumenten zoals een AI compliance annex toe waarin deze randvoorwaarden gestandaardiseerd staan. Dit voorkomt dat je bij elke aanbesteding opnieuw het wiel moet uitvinden en zorgt voor consistentie binnen je organisatie.

Ontwikkel templates voor AI-contractclausules, checklists voor AI-beoordelingen, en standaard rapportageformats. Dit maakt het proces efficiƫnter en verhoogt de kwaliteit van je contracten.

Expertise in de beoordelingscommissie

Veel gemeenten kiezen er inmiddels voor om AI-experts of ethische adviseurs aan te laten schuiven bij de beoordelingscommissie. Zo voorkom je dat mooie beloftes op de pitchslide sneuvelen zodra het contract juridisch wordt.

Deze experts kunnen technische claims verifiƫren, risico's inschatten, en ervoor zorgen dat compliance-eisen realistisch en haalbaar zijn. Investeer in deze expertise, want de kosten wegen niet op tegen de risico's van een slecht AI-contract.

Praktijkvoorbeeld: AI-inhuur bij een sociaal domein-app

Een middelgrote gemeente eiste in 2024 in haar aanbesteding van een sociaal domein-app specifieke AI-compliance maatregelen. Het resultaat toont zowel de kracht als de uitdagingen van proactieve contractering.

De gestelde eisen

De gemeente stelde drie kernvereisten:

  • Realtime uitleg van de beslissing (top 3 beĆÆnvloedende factoren)
  • Kwartaalrapportages met fairness-scores per demografische groep
  • Mogelijkheid tot modelpauze door de gemeente zelf

Deze eisen werden opgenomen als harde criteria in het programma van eisen, met bijbehorende bewijslast voor leveranciers.

De implementatie-uitdaging

Bij implementatie bleek dat het model in eerste instantie niet kon uitleggen hoe de adviesscore tot stand kwam. De leverancier had explainability als feature genoemd, maar deze was niet operationeel voor het specifieke model dat gebruikt werd.

De leverancier moest bijbetalen om explainability-tooling aan te passen en te integreren. Dit kostte drie maanden extra ontwikkeltijd en 15% meerkosten, maar leverde uiteindelijk een systeem op dat volledig voldeed aan de eisen.

De lessen

Eisen stellen werktā€”maar alleen als je ze ook handhaaft. De gemeente had de moed om implementatie te vertragen totdat aan alle eisen was voldaan. Dit leidde tot korte termijn frustratie maar lange termijn compliance.

Technische verificatie is essentieel. Claims over AI-functionaliteit moeten worden geverifieerd met proof-of-concepts of demo's tijdens het aanbestedingsproces.

Budgetteer voor compliance. AI-compliance heeft vaak technische aanpassingen tot gevolg die kosten met zich meebrengen. Plan hier van tevoren voor.

Contracten en samenwerking met juridische en inkoopteams

AI-compliance in contracten vraagt nauwe samenwerking tussen verschillende disciplines. De traditionele scheiding tussen juridisch, IT, inkoop en compliance werkt niet voor AI-projecten die alle domeinen raken.

Multidisciplinaire aanpak

Effectieve AI-contractering vereist input van:

  • Juridische afdeling: AI Act-compliance, aansprakelijkheid, privacy
  • IT-afdeling: Technische haalbaarheid, integratie, security
  • Inkoopteam: Marktkennis, onderhandelingstactiek, contractmanagement
  • AI/ethiek-specialisten: Risicobeoordeling, bias-detectie, explainability

Standaardisering en tooling

Ontwikkel standaard AI-clauses, annexen en checklists om deze samenwerking structureel te maken. Dit voorkomt dat expertise verloren gaat bij personeelswisselingen en zorgt voor consistente kwaliteit.

Voorbeelden van nuttige tools:

  • AI-risico assessment template
  • Standaard contractclausules voor verschillende AI-categorieĆ«n
  • Checklist voor technische verificatie
  • Rapportageformat voor compliance-monitoring

Training en bewustwording

Train inkoop- en contractmanagers in de basics van de AI Act en AI-technologie. Ze hoeven geen experts te worden, maar moeten wel weten wanneer ze specialistische hulp nodig hebben.

Organiseer regelmatige kennissessies waar verschillende afdelingen leren van elkaars expertise. AI-compliance is een teamsport die alleen succesvol is als iedereen zijn rol begrijpt.

Wat je morgen kunt doen

Wacht niet op de perfecte AI-strategie voordat je begint met betere contractering. Er zijn concrete stappen die je direct kunt zetten:

Herzie lopende contracten

Inventariseer welke van je huidige leveranciers AI-functionaliteiten gebruiken, ook als dit niet expliciet in het contract staat. Veel SaaS-leveranciers hebben inmiddels AI-features toegevoegd zonder dit te communiceren.

Identificeer compliancegaten in bestaande contracten en plan contractwijzigingen of addenda. Focus eerst op high-risk systemen en kritieke processen.

Ontwikkel standaardtools

Begin met het ontwikkelen van een standaard AI-aanbestedingsbijlage (compliance annex) die je bij toekomstige aanbestedingen kunt gebruiken. Start simpel en breid uit op basis van ervaring.

Maak een checklist van AI-gerelateerde vragen die bij elke aanbesteding gesteld moeten worden. Dit voorkomt dat belangrijke aspecten over het hoofd worden gezien.

Bouw expertise op

Train je inkoop- en contractteams in de basics van de AI Act en AI-compliance. Investeer in externe expertise waar nodig, maar bouw ook interne kennis op.

Netwerk met andere organisaties die vergelijkbare uitdagingen hebben. Veel gemeenten en overheidsorganisaties delen graag ervaringen en best practices.

De strategische waarde van proactieve AI-contractering

Goede AI-contractering is meer dan risicomanagementā€”het is een strategisch instrument dat organisaties helpt om verantwoord te innoveren. Door compliance-eisen vooraf vast te leggen, creĆ«er je ruimte voor experimentatie binnen duidelijke kaders.

Organisaties die vooroplopen in AI-contractering ontwikkelen een concurrentievoordeel. Ze kunnen sneller nieuwe AI-toepassingen implementeren omdat de compliance-basis al is gelegd. Ze trekken betere leveranciers aan die serieus zijn over verantwoorde AI. En ze voorkomen kostbare compliance-problemen die achteraf veel moeilijker op te lossen zijn.

De investering in betere AI-contractering betaalt zich terug door vermeden risico's, snellere implementaties, en betere leverancierrelaties. Maar vooral creƫert het de basis voor duurzame AI-adoptie die waarde levert zonder de organisatie in gevaar te brengen.

In aflevering 7 van onze serie duiken we in het registratie- en transparantietraject: hoe en waar leg je vast welke modellen je gebruikt en wat ze doen? Van EU-database tot het Nederlandse algoritmeregister.

<AIActComplianceCTA />