Voor veel organisaties is kunstmatige intelligentie (AI) nog een onderwerp van innovatie, experiment of toekomstvisie. Maar met de inwerkingtreding van de EU AI Act verandert die houding fundamenteel. Wat voorheen een kwestie was van technische innovatie, wordt nu een juridisch en contractueel vraagstuk – en daarmee een domein waarin de inkoper een sleutelrol vervult.
<Computable.nl>
Inkopers worden geacht niet alleen te letten op prijs, prestaties of leveringsvoorwaarden, maar ook scherp te zijn op zaken als transparantie, datatoezicht, auditlogs en risicoclassificatie. Niet uit luxe, maar omdat Europese wetgeving het simpelweg vereist.
AI is breder dan je denkt
Wie bij AI alleen denkt aan slimme chatbots of beeldherkenning, doet zichzelf tekort. De wetgever kiest namelijk voor een brede definitie. Ook systemen die automatisch patronen herkennen, voorspellingen doen of beslissingen nemen – zoals HR-oplossingen, klantinteractiesystemen of besluitvormingssoftware – vallen onder de reikwijdte van de nieuwe regelgeving.
Dat betekent dat je als inkoper niet kunt wachten tot de ICT-afdeling een AI-label op een tool plakt. Je zult zelf moeten toetsen of er sprake is van een toepassing die onder de wet valt. En dat is lastiger dan het lijkt. Want de grens tussen “AI” en “slimme software” vervaagt steeds verder – juridisch gezien telt de werking, niet de marketing.
Contractuele zorgplicht
De AI Act verplicht organisaties om na te denken over hoe AI-systemen worden ingekocht en beheerd. Systemen die als “hoog risico” worden aangemerkt – zoals toepassingen in gezondheidszorg, onderwijs of publieke dienstverlening – moeten voldoen aan strikte eisen op het gebied van transparantie, menselijke controle, documentatie en monitoring.
En dat betekent dat je deze eisen contractueel moet verankeren. Wie software of dienstverlening inkoopt waarin AI een rol speelt, zal moeten vastleggen welke risicoklasse van toepassing is, wat de leverancier doet aan logging en auditmogelijkheden, wie er verantwoordelijk is voor toezicht, en hoe incidenten worden afgehandeld. Veel van deze elementen zijn nu nog nauwelijks onderwerp van gesprek in aanbestedingstrajecten, laat staan in standaard inkoopvoorwaarden. Dat zal moeten veranderen.
De datasoevereiniteit als dilemma
Een ander belangrijk aandachtspunt is de herkomst van de technologie. Veel veelgebruikte AI-toepassingen – zoals de modellen van OpenAI, Google of Amazon – zijn Amerikaans. Daarmee ontstaat een dilemma: organisaties die deze diensten gebruiken, brengen mogelijk gevoelige data onder een ander juridisch regime, en verliezen grip op zaken als bewaartermijnen, auditlogs of dataminimalisatie.
De AI Act stelt eisen aan transparantie en herleidbaarheid. Maar leveranciers uit de VS kunnen of willen daar niet altijd volledig aan voldoen. Denk bijvoorbeeld aan logging: waar de Europese wetgever vraagt om auditbare gegevensopslag, bieden grote techbedrijven vaak juist zo min mogelijk inzicht in hun modellen en outputs. Inkopers zullen zich bewust moeten zijn van deze spanning – en overwegen of Europese of open-source alternatieven beter passen bij hun verantwoordelijkheden.
Meer autonomie, maar ook meer verantwoordelijkheid
Voor organisaties die maximale controle willen houden, lijkt de inzet op open-source AI en zelfbeheer de meest logische route. Daarmee krijg je als organisatie volledige zeggenschap over je data, je algoritmen en je auditmechanismen. Maar die autonomie komt met een prijs: je moet zelf zorgen voor updates, documentatie, beveiliging en licentiebeheer. Het vraagt om volwassen leveranciersrelaties en stevig contractmanagement.
Een rol voor jou als inkoper
Wat betekent dit alles nu concreet voor inkopers in de publieke sector? In de eerste plaats dat je je bewust moet zijn van je rol als poortwachter van rechtmatigheid en publieke waarden. De AI Act maakt duidelijk dat AI geen vrijblijvende speeltuin is, maar een domein waarin governance, ethiek en compliance essentieel zijn. En daarmee wordt inkoop het eerste filter: degene die bepaalt wat er binnenkomt, onder welke voorwaarden en met welk toezicht.
Het vraagt om meer dan juridische clausules. Het vraagt om het stellen van de juiste vragen, het durven bevragen van leveranciers, en het organiseren van samenwerking met juridische, ethische en technische collega’s. Wie dat goed doet, kan AI op een verantwoorde manier benutten. Wie dat nalaat, loopt het risico op onzichtbare fouten – met grote impact.
