Waar moet je op letten bij de inkoop van AI

1. Regelgeving & compliance (AI Act)
   • Onderzoek of het AI-systeem waarvoor je inkoopt onder de EU AI Act valt: welke risicoklasse (prohibited, high-risk, transparantie, laag risico) is van toepassing? business.gov.nl+2KPMG+2
   • Voor hoog-risico AI moet je eisen stellen aan risicomanagement, monitoring, menselijke oversight, kwaliteitsmanagement en technische documentatie. business.gov.nl+2PwC+2
   • Controleer dat je contractueel conformiteit kunt aantonen: de EU biedt modelcontractclausules aan die aansluiten op de AI Act. PIANOo – Expertisecentrum Aanbesteden+1
   • Let op deadlines in de AI Act: bijvoorbeeld 2 februari 2025 voor verboden AI, 2 augustus 2026 voor sommige hoog-risico AI-systemen. KPMG
2. Risicomanagement en governance
   • Maak een inventarisatie van je AI-gebruik: welke systemen gebruik je, waarvoor, door wie, en wat is de risicoclassificatie? EY+1
   • Implementeer een AI-governance-structuur: verantwoordelijken voor AI-beleid, ethiek, risicobeoordeling, compliance. PwC
   • Zorg voor menselijke controle (“human-in-the-loop”) waar nodig, zeker bij high-risk AI-systemen. PwC
3. Contractuele afspraken
   • Gebruik de EU-modelclausules voor AI in je contracten zodat je risico’s juridisch afdekt. PIANOo – Expertisecentrum Aanbesteden+1
   • Leg in contracten vast wie eigenaar is van data, wie de IP-rechten heeft op AI-output, en wat er gebeurt bij beëindiging van de samenwerking. KPMG
   • Stel eisen aan transparantie van de leverancier: laat je AI-leverancier documentatie geven over hoe het model werkt, welke data is gebruikt, welke biases aanwezig kunnen zijn, etc.
4. Transparantie & uitlegbaarheid (Explainability)
   • Vraag naar “explainable AI”: laat de leverancier uitleggen hoe beslissingen tot stand komen, welke inputs worden gebruikt en hoe output tot stand komt.
   • Overweeg een checklist of standaard voor uitlegbaarheid, zeker in gevoelige domeinen zoals HR, gezondheid, financiën of recht.
5. Beveiliging, privacy & databeheer
   • Controleer hoe data gebruikt wordt in het AI-systeem: wordt je data gebruikt om het model verder te trainen? Zo ja, welke rechten behoud je?
   • Eis dat je leverancier passende beveiligingsmaatregelen heeft, zeker als het AI-systeem gevoelige of persoonsgegevens verwerkt.
   • Wees alert op GDPR / AVG: AI kan extra privacyrisico’s met zich meebrengen, zeker bij persoonsdata of profielvorming.
6. Auditing & monitoring
   • Spreek af dat periodieke audits of beoordelingen plaatsvinden (bijv. op prestaties, bias, veiligheid).
   • Monitor AI tijdens de gebruiksperiode: prestaties kunnen afnemen, dingen kunnen “ontwrichten” wanneer de context verandert.
   • Vraag om meldmechanismen bij incidenten: wat gebeurt er als het AI-systeem fouten maakt of onbedoelde gevolgen heeft?
7. Opleiding en AI-geletterdheid
   • Zorg dat medewerkers die de AI gebruiken of beheren, voldoende kennis hebben over AI, de beperkingen ervan en hoe risico’s te herkennen zijn.
   • Maak beleid over het verantwoord gebruik van AI binnen je organisatie: wie mag wat gebruiken, met welke data, en met welke supervisie?
   • Volgens de AI Act is AI-geletterdheid belangrijk om verantwoord gebruik te garanderen. PwC
8. Strategie & schaalbaarheid
   • Denk na over de levenscyclus van het AI-systeem: hoe onderhoud je het model, hoe ga je om met updates of veroudering?
   • Overweeg vendor lock-in: kan je later overstappen naar een andere AI-aanbieder, of je eigen model hosten?
   • Maak een business case: wat levert de AI op in efficiency, kwaliteit, innovatie, en wat zijn de risico’s of kosten van falen?

Praktische Nederlandse / EU-bronnen

• Nevi: artikel “Waar let je op bij de inkoop van AI” met risicomanagement en contractvoorwaarden. Nevi
• PIANOo: EU-contractclausules voor AI nu in het Nederlands. PIANOo – Expertisecentrum Aanbesteden
• Business.gov.nl: uitleg over de AI Act, welke systemen verboden zijn, welke eisen gelden. business.gov.nl+1