AI procurement: het belang van goede aankoopcontracten en Standard Clauses voor procurement (Sirius Legal)

Juridische Risico’s van AI

We gingen in een vorige blog post al uitgebreid in op de juridische risico’s van AI en ook toen stelden we vast dat het inzetten van AI in bedrijfsprocessen behoorlijk wat uitdagingen stelt. Data protection, intellectuele eigendom, discriminerende algoritmen en aansprakelijkheid bij fouten veroorzaakt door AI zijn alles behalve virtuele risico’s. Dat is precies ook de reden waarom de EU hard werkt aan de AI Act en de AI Liability Act.

Precies omwille van de vele uitdagingen en risico’s is het voor bedrijven noodzakelijk om deze risico’s in kaart te brengen en deze te mitigeren door interne richtlijnen en policies op te stellen. Sterke aankoopprocessen kunnen ervoor zorgen dat enkel de juiste tools door je bedrijf in huis gehaald worden. Sterke, betrouwbare en sluitende standaardcontracten en checklists kunnen de risico’s van AI maximaal indekken.

De Standaard Contractclausules voor AI-procurement van de Europese Commissie

De Europese Commissie is zich duidelijk erg bewust van de noodzaak om organisaties (in eerste instantie in dit geval publieke overheden) te ondersteunen bij hun inkoopprocessen voor AI-tools.  Om die reden werkt de Commissie al een tijdje aan standaard contractclausules voor de inkoop van AI. Deze clausules beogen een uniform raamwerk te bieden voor het inkopen van AI-diensten en -producten.  Deze clausules zijn in eerste instantie bedoeld voor overheden en publieke instellingen binnen de EU, maar het staat buiten kijf dat private ondernemingen hier ook hun voordeel mee kunnen doen.

Wat houden die contract clauses voor AI precies in?

De Commissie maakt een onderscheid tussen inkoopcontracten voor “hoog risico AI”  en voor andere AI-toepassingen.  De template teksten moeten organisaties indekken op vlak van gegevensbescherming, ethiek, aansprakelijkheid en andere relevante gebieden en zowel kopers als leveranciers van AI-oplossingen een helder en rechtvaardig contractueel kader te bieden.

Enkele concrete onderwerpen die gecovered worden door de standaardclausules zijn:

1. Risk management en impact assessments: inkopers moeten zorgen voor gepaste voorafgaande risicoanalyses van bekende en redelijkerwijs te verwachten risico’s voor de gezondheid, veiligheid en fundamentele rechten van de Europese Unie in het licht van het beoogde doel van het AI-systeem en redelijkerwijs te verwachten misbruik. Ze moeten passende en gerichte risicobeheersmaatregelen nemen om de geïdentificeerde risico’s aan te pakken, rekening houdend met de bepalingen in de clausules. Deze maatregelen moeten ervoor zorgen dat de resterende risico’s aanvaardbaar zijn, op voorwaarde dat het AI-systeem wordt gebruikt volgens het beoogde doel of onder omstandigheden van redelijkerwijs te verwachten misbruik.
2. Data use: Voor gegevenssets die gebruikt worden bij de ontwikkeling van een AI-systeem gelden verschillende vereisten zoals transparantie (met betrekking tot het oorspronkelijke doel van gegevensverzameling, ontwerpkeuzes, gegevensverzamelingsprocessen, gegevensvoorbereiding voor verwerking, formulering van relevante aannames en maatregelen om mogelijke vooringenomenheid te detecteren, voorkomen en verminderen), relevantie en representativiteit (gegevenssets moeten relevant en representatief zijn en zo compleet mogelijk in termen van het beoogde doel, ze moeten ook de juiste statistische eigenschappen hebben). Gegevenssets moeten ook rekening houden met de specifieke geografische, contextuele, gedragsmatige of functionele omgeving waarin het AI-systeem bedoeld is om te worden gebruikt, in overeenstemming met het beoogde doel of redelijkerwijs te verwachten misbruik.
3. Evaluatie van tekortkomingen: De leverancier moet de gegevenssets evalueren om eventuele tekortkomingen of lacunes te identificeren die niet voldoen aan de vereisten van de clausules, en hoe deze kunnen worden aangepakt. Het doel van deze vereisten is om ervoor te zorgen dat de gegevenssets die worden gebruikt bij de ontwikkeling van een AI-systeem van goede kwaliteit zijn en geschikt zijn voor het beoogde doel. Dit draagt bij aan de betrouwbaarheid en vertrouwenswaardigheid van het AI-systeem.

De clausules vereisen ook dat leveranciers van AI-systemen bij de levering gedetailleerde documentatie verstrekken met minstens de volgende informatie:

1. Technische documentatie: De leverancier moet technische documentatie verstrekken die de publieke organisatie of een derde partij in staat stelt om de naleving van het AI-systeem met de bepalingen van de clausules te beoordelen. Deze documentatie moet onder andere een algemene beschrijving van het AI-systeem bevatten, inclusief het beoogde doel, de versie van het systeem en de gebruikte softwareversies. Het moet ook informatie bevatten over de architectuur van het systeem, de gebruikte datasets, de validatie- en testprocedures, en eventuele pre-gedefinieerde wijzigingen aan het systeem.
2. Instructies voor gebruik: De leverancier moet instructies voor gebruik verstrekken die beknopt, volledig, correct en duidelijk zijn en relevant, toegankelijk en begrijpelijk zijn voor de publieke organisatie. Deze instructies moeten informatie bevatten over de identiteit en contactgegevens van de leverancier, de kenmerken en beperkingen van het AI-systeem, de verwachte levensduur en onderhoudsmaatregelen, en de mechanismen voor het verzamelen, opslaan en interpreteren van logs.

Deze documentatie is essentieel om ervoor te zorgen dat de publieke organisatie het AI-systeem adequaat kan beoordelen en gebruiken volgens de bepalingen van de clausules. Het stelt de organisatie in staat om de naleving van het systeem met de vereisten vast te stellen en eventuele wijzigingen of onderhoudsmaatregelen bij te houden.

Wat betekent dit voor jouw bedrijf?

Deze standaardcontracten zijn vooral bedoeld als leidraad voor aankoopafdelingen bij overheden of in de publieke sector.  Dat neemt natuurlijk niet weg dat ze een erg handige basis kunnen vormen voor juristen in bedrijven om ook binnen een meer commerciële context AI-aankoopprocessen te stroomlijnen om zo juridische risico’s te minimaliseren.

In een wereld waar AI steeds belangrijker wordt, is het essentieel voor bedrijven om proactief te zijn in het beheersen van de juridische risico’s. De standaard contractclausules van de Europese Commissie kunnen hierbij een cruciale rol spelen.

Bron: Sirius Legal