Artificiële intelligentie heeft zich in korte tijd ontwikkeld van experimentele technologie tot een vast onderdeel van de dagelijkse bedrijfsvoering. Van chatbots in de klantenservice tot voorspellende algoritmes in de logistiek en industriële machines. De adoptie gaat snel, maar de contracten waarmee AI systemen worden ingekocht of geleverd, lopen daar niet altijd in mee. Met de gefaseerde inwerkingtreding van de AI Act, in samenhang met andere wet- en regelgeving, ontstaan verplichtingen die rechtstreeks doorwerken in contractuele verhoudingen. In dit artikel licht ik belangrijke grondslagen toe voor herziening van contracten en leg ik uit waarom het verstandig is om contracten aan te passen bij het gebruiken en leveren van AI systemen.
De AI Act
De AI Act classificeert AI systemen als hoog risico wanneer zij dienen als veiligheidscomponent van een product onder EU-harmonisatiewetgeving (bijlage I), een conformiteitsbeoordeling door een derde vereisen of zijn opgenomen in bijlage III. Artikel 25 lid 4 AI Act schrijft voor dat aanbieder en toeleverancier van hoog risico AI systemen in een schriftelijke overeenkomst de nodige informatie, capaciteiten en technische toegang vastleggen. Dit maakt contractuele aanpassing noodzakelijk.
De Europese Commissie heeft in november 2025 een voorstel gedaan om de inwerkingtreding voor hoog risico AI systemen uit te stellen. De verplichtingen treden pas in werking indien de Commissie heeft besloten dat er voldoende instrumenten beschikbaar zijn om naleving in de praktijk mogelijk te maken. Zodra de Commissie dit heeft bevestigd, geldt er een overgangstermijn van 12 maanden voor AI systemen uit bijlage I en 6 maanden voor AI systemen genoemd in bijlage III. Indien de Commissie niet met een besluit komt dan zullen de verplichtingen gelden op 2 december 2027 (systemen in Annex III) en 2 augustus 2028 (systemen in Annex I). De oorspronkelijke data waren 2 augustus 2026 (Annex III) en 2 augustus 2027 (Annex I).
Cyber Resilience Act (CRA)
AI software die kwalificeert als product met digitale elementen moet voldoen aan de Cyber Resilience Act. Hoog risico AI systemen die aan de CRA voldoen, worden geacht ook te voldoen aan de cyber beveiligingseisen van art. 15 AI Act (art. 12 CRA). Vanaf 11 september 2026 is de fabrikant verplicht om melding te maken bij de nationale CSIRT (in Nederland het NCSC) in geval van serieuze incidenten of actief uitgebuite kwetsbaarheden en dient gebruikers te informeren en adviseren. De volledige CRA verplichtingen gelden vanaf 11 december 2027. Dit maakt afspraken over cyber beveiligingseisen en verantwoordelijkheden nodig in contracten waar AI systemen worden ingekocht of geleverd.
Digital Operational Resilience Act (DORA)
AI systemen die doorlopend worden geleverd aan een financiële entiteit, kunnen worden gekwalificeerd als een ICT-dienst onder DORA. Artikel 30 DORA schrijft verplichte contractinhoud voor, waaronder duidelijke dienstbeschrijvingen, locatievereisten, gegevensbescherming en beëindigingsrechten. Voor ICT-diensten die kritieke functies ondersteunen, vereist artikel 30 lid 3 DORA onder andere onbeperkte auditrechten, exitstrategieën en meewerken aan inzage in documenten. Tevens dient er transparantie te zijn over de gebruikte ‘subcontractors’. Partijen die AI systemen leveren aan de financiële sector moeten waakzaam zijn dat hun contracten voldoen aan deze eisen. De DORA verplichtingen gelden sinds januari 2025.
Welke contracten verdienen in het bijzonder aandacht?
SaaS contracten
Een SaaS contracten regelt de toegang tot software die als online dienst wordt aangeboden, waarbij de leverancier de software host en onderhoudt. Bij een SaaS (Software as a Service) overeenkomst is de leverancier vaak de aanbieder onder de AI Act.
Redenen om SaaS overeenkomsten te herzien:
- De rolverdeling (aanbieder, gebruiksverantwoordelijke, toeleverancier) contractueel vastleggen om onvoorziene verschuiving van verplichtingen te voorkomen.
- Afspreken dat de leverancier technische documentatie, logbestanden en API-toegang beschikbaar stelt, zodat de afnemer bijvoorbeeld aan zijn monitoringsverplichtingen kan voldoen.
- Het opnemen of updaten van afspraken over cybersecurity, meldplicht en onderlinge verantwoordelijkheden hieromtrent om te kunnen voldoen aan de CRA en de AI Act.
- Bij levering aan financiële entiteiten moet het contract voldoen aan de inhoudsvereisten van art. 30 DORA, waaronder dienstverleningsniveaus, incidentbijstand, minimumopzegtermijnen.
Licentieovereenkomsten
Een licentieovereenkomst verleent de licentienemer het recht om software te gebruiken, te integreren of verder te ontwikkelen onder bepaalde voorwaarden. De AI Act stelt kwaliteitseisen aan trainingsdata: datasets moeten relevant, representatief en foutenvrij zijn (art. 10 AI Act).
Redenen om licentieovereenkomsten te herzien:
-
Afspraken over trainingsdata, updates, wijzigingen in risiconiveau contractueel waarborgen, afspraken opnemen over wie eigenaar is van de trainingsdata en gegenereerde output en hoe intellectuele eigendomsrechten zijn geregeld.
- De licentienemer die het AI systeem substantieel wijzigt of onder eigen naam op de markt brengt, wordt als aanbieder aangemerkt en neemt alle bijbehorende verplichtingen over. Duidelijke afspraken maken hierover kunnen geschillen over verplichtingen voorkomen.
- Aansprakelijkheidsclausules moeten regelen wie instaat voor schade door gebrekkige trainingsdata of foutieve output van het AI systeem.
Productieovereenkomsten
Bij een productieovereenkomst (manufacturing agreement) produceert een derde partij (AI) producten of software in opdracht van de opdrachtgever. De AI Software kan bijvoorbeeld verwerkt worden in machines.
Redenen om productieovereenkomsten te herzien:
-
De fabrikant/producent draagt alle verplichtingen van art. 16 AI Act draagt, ook als de AI component door een derde is ontwikkeld. In de overeenkomst moet worden vastgelegd dat de toeleverancier de technische documentatie, broncode en testresultaten beschikbaar stelt die nodig zijn voor de conformiteitsbeoordeling.
-
Artikel 13 CRA bevat de verplichtingen van fabrikanten. Dit artikel schrijft onder meer voor dat fabrikanten ervoor zorgen dat producten met digitale elementen zijn ontworpen, ontwikkeld en geproduceerd overeenkomstig de essentiële cyberbeveiligingsvereisten van bijlage I. Daarnaast moeten fabrikanten passende zorgvuldigheid betrachten bij de integratie van componenten van derden.
- Aansprakelijkheids- en vrijwaringsclausules opnemen om te bepalen wie aansprakelijk is wanneer het AI systeem na integratie in het eindproduct een gebrek vertoont, en hoe aansprakelijkheid en verantwoordelijkheden tussen fabrikant en toeleverancier worden verdeeld.
Distributieovereenkomsten
Een distributieovereenkomst regelt de doorverkoop van AI systemen of andere producten door een distributeur aan eindgebruikers. De distributeur handelt voor eigen rekening en risico.
Redenen om distributieovereenkomsten te herzien:
-
De distributeur heeft een eigen verificatieplicht ten aanzien van CE-markering, conformiteitsverklaring en gebruiksinstructies (art. 24 AI Act). In de overeenkomst moet worden vastgelegd dat de aanbieder deze documentatie garandeert en tijdig beschikbaar stelt.
- Art. 25 lid 1 AI Act bepaalt dat de distributeur als aanbieder wordt aangemerkt bij het plaatsen van een eigen naam of merk, het aanbrengen van een substantiële wijziging of het wijzigen van het beoogde doel. In de overeenkomst moet worden gedefinieerd welke handelingen als substantiële wijziging gelden, om onvoorziene verschuiving van verplichtingen te voorkomen. Dit maakt heldere contractuele afspraken over informatieoverdracht en medewerking essentieel.
- Bij non-conformiteit heeft de distributeur een eigen meldplicht richting de aanbieder of importeur en moet corrigerende maatregelen worden getroffen. Het contract moet voorzien in afspraken over verantwoordelijkheden, kosten en termijnen bij dergelijke situaties.
Tot slot
Organisaties die AI systemen gebruiken of leveren, moeten ervoor zorgen dat er wordt voldaan aan de verschillende wet- en regelgeving omtrent AI gebruik. Dit kan door heldere afspraken te maken over verantwoordelijkheden, verplichtingen, aansprakelijkheid en meer. Naast de hierboven besproken contracten kunnen ook andere contracten aandacht verdienen, zoals de verwerkersovereenkomst. Nu actie ondernemen voorkomt dat aansprakelijkheid, compliance risico's en onduidelijke rolverdelingen pas zichtbaar worden wanneer het misgaat.
Advies nodig over dit onderwerp?
Neem contact op via: info@LJCommercialContracting.nl
