Het imple­men­te­ren van effec­tie­ve AI-con­trac­ten is van cru­ci­aal belang voor orga­ni­sa­ties die AI-sys­te­men inko­pen. Hoe­wel AI-con­trac­ten kun­nen voort­bou­wen op tra­di­ti­o­ne­le IT-con­trac­te­rings­prak­tij­ken, brengt de ver­an­de­ren­de aard van AI spe­ci­fie­ke uit­da­gin­gen met zich mee. Denk aan hal­lu­ci­na­ties, bias en beperk­te trans­pa­ran­tie en uit­leg­baar­heid van besluit­vor­mings­pro­ces­sen. Daar­bij zijn AI-sys­te­men van natu­re dyna­misch: zij kun­nen zich ont­wik­ke­len, in pres­ta­ties ach­ter­uit­gaan of zich onvoor­spel­baar gedra­gen in de loop van de tijd, waar­door voort­du­ren­de moni­to­ring gedu­ren­de de loop­tijd van het con­tract nood­za­ke­lijk is.

Het belang van robuus­te AI-con­trac­ten wordt ver­der ver­groot door nieu­we AI-regel­ge­ving, met name de EU-ver­or­de­ning voor arti­fi­ci­ë­le intel­li­gen­tie (AI Act), die aan­vul­len­de com­plexi­teit intro­du­ceert rond­om rol­len, ver­ant­woor­de­lijk­he­den en com­pli­an­ce.

Een prak­ti­sche aan­pak om door dit land­schap te navi­ge­ren, is het struc­tu­re­ren van het con­trac­te­rings­pro­ces aan de hand van vijf dui­de­lijk gede­fi­ni­eer­de fasen: van ini­ti­ë­le ana­ly­se tot door­lo­pen­de moni­to­ring. Samen vor­men deze fasen de levens­cy­clus van AI-con­trac­ten.

 

Fase 1: Ana­ly­se

Om een effec­tief AI-con­tract op te stel­len, is het essen­ti­eel te star­ten met een hel­der begrip van de basis: welk AI-sys­teem de orga­ni­sa­tie inkoopt en met welk doel. In de ana­ly­se­fa­se wor­den de aard van het AI-sys­teem, het beoog­de gebruik, de betrok­ken par­tij­en en het toe­pas­se­lij­ke juri­di­sche kader in kaart gebracht. Door deze ele­men­ten vroeg­tij­dig vast te stel­len, wordt geborgd dat doel­stel­lin­gen, com­pli­an­ce-eisen en ver­ant­woor­de­lijk­he­den van­af het begin dui­de­lijk zijn.

Enke­le rich­ting­ge­ven­de vra­gen hel­pen om dit beeld scher­per te krij­gen:

• Voor wel­ke doel­ein­den wil­len we het AI-sys­teem gebrui­ken?
• Is de AI Act van toe­pas­sing, of gel­den er uit­zon­de­rin­gen?
• Wat is de risi­co­clas­si­fi­ca­tie van het AI-sys­teem onder de AI Act?
• Wel­ke rol ver­vult de orga­ni­sa­tie bin­nen de AI-waar­de­ke­ten?

 

Fase 2: Risi­co-iden­ti­fi­ca­tie

Voort­bou­wend op deze ana­ly­se richt de twee­de fase zich op het iden­ti­fi­ce­ren en cate­go­ri­se­ren van de risico’s die samen­han­gen met het AI-sys­teem. Deze risico’s bestrij­ken ver­schil­len­de dimen­sies, waar­on­der:

• model- en prestatierisico’s zoals nauw­keu­rig­heids­ver­lies, model­drift en hal­lu­ci­na­ties;
• datarisico’s waar­on­der kwa­li­teits­pro­ble­men, data­lek­ken en bias in trai­nings­da­ta van leve­ran­ciers;
• ketenrisico’s zoals onvol­doen­de toe­ge­we­zen aan­spra­ke­lijk­heid bin­nen de AI-waar­de­ke­ten en bloot­stel­ling aan tekort­ko­min­gen of non-com­pli­an­ce van onder­aan­ne­mers;
• compliance-risico’s ver­bon­den aan ver­plich­tin­gen voor hoog-risi­co AI-sys­te­men en grens­over­schrij­den­de data­door­gif­te;
• ope­ra­ti­o­ne­le risico’s zoals beperk­te AI-gelet­terd­heid bij gebrui­kers, gebrek­ki­ge inci­den­tres­pons of ven­dor lock-in;
• aan­spra­ke­lijk­heids- en veiligheidsrisico’s vari­ë­rend van boe­tes tot pro­duct­aan­spra­ke­lijk­heid en let­sel­scha­de; en
• ethi­sche risico’s rond­om bias, beperk­te uit­leg­baar­heid en gebrek aan men­se­lij­ke con­tro­le.

Het iden­ti­fi­ce­ren van deze risico’s is slechts het begin. De risico’s moe­ten ook wor­den beoor­deeld en gepri­o­ri­teerd om te bepa­len wel­ke risico’s het meest mate­ri­eel zijn. Een prak­ti­sche drie­stap­pen­aan­pak kan hier­bij hel­pen:

1. Bepaal in hoe­ver­re elk risi­co rele­vant is voor het beoog­de gebruik en de leve­ran­ciers­struc­tuur;
2. Beoor­deel de poten­ti­ë­le impact en de kans dat het risi­co zich daad­wer­ke­lijk voor­doet; en
3. Miti­geer de meest mate­ri­ë­le risico’s via con­trac­tu­e­le afspra­ken.

De uit­komst van deze ana­ly­se vormt de input voor de vol­gen­de fase: het opstel­len van het AI-con­tract.

 

Fase 3: Con­tract

Met een dui­de­lij­ke ana­ly­se en een gepri­o­ri­teerd risi­co­pro­fiel kun­nen orga­ni­sa­ties deze inzich­ten ver­ta­len naar een con­tract tus­sen de afne­mer en de leve­ran­cier (vaak de aan­bie­der in de zin van de AI Act). Het is raad­zaam kern­ele­men­ten uit tra­di­ti­o­ne­le IT-con­trac­ten, waar­on­der key per­for­man­ce indi­ca­tors (KPI’s), risi­co­al­lo­ca­tie en intel­lec­tu­eel eigen­dom, terug te laten komen in AI-con­trac­ten. De spe­ci­fie­ke ken­mer­ken van AI-sys­te­men ver­ei­sen ech­ter een op maat gemaak­te bena­de­ring.

Een illu­stra­tief voor­beeld is het defi­ni­ë­ren van KPI’s. In tegen­stel­ling tot tra­di­ti­o­ne­le IT-dien­sten kan een AI-sys­teem tech­nisch beschik­baar en ope­ra­ti­o­neel zijn, ter­wijl het toch onjuis­te out­put gene­reert. Klas­sie­ke beschikbaarheids-KPI’s bie­den daar­om slechts beperkt inzicht in de fei­te­lij­ke pres­ta­ties. AI-spe­ci­fie­ke KPI’s moe­ten aan­slui­ten bij de use case en het risi­co­pro­fiel, en zich rich­ten op aspec­ten zoals res­pons­tijd, laten­cy, nauw­keu­rig­heid en het voor­ko­men van hal­lu­ci­na­ties.

 

Fase 4: Mel­din­gen

Na onder­te­ke­ning van de over­een­komst moe­ten orga­ni­sa­ties ervoor zor­gen dat de over­een­ge­ko­men meld­ver­plich­tin­gen wor­den ver­taald naar dui­de­lij­ke rap­por­ta­ge­ter­mij­nen en esca­la­tie­pro­ce­du­res. Dit omvat het vast­leg­gen van wie wie infor­meert, via welk kanaal en bin­nen wel­ke ter­mijn, met oog voor even­tu­e­le afhan­ke­lijk­he­den tus­sen par­tij­en. In de prak­tijk is dit vaak com­plex, aan­ge­zien ver­schil­len­de wet­te­lij­ke regimes uit­een­lo­pen­de mel­dings­cri­te­ria, ter­mij­nen en con­tact­pun­ten voor­schrij­ven. Denk bij­voor­beeld aan data­lek­mel­din­gen onder de AVG of rap­por­ta­ge­ver­plich­tin­gen na een ern­stig inci­dent met een hoog risi­co AI-sys­teem onder de AI Act.

Van­uit gover­nan­ce- en con­trac­te­rings­per­spec­tief is het belang­rijk om te beoor­de­len waar mel­dings­pro­ces­sen en con­tact­pun­ten kun­nen wor­den gestroom­lijnd, zon­der afbreuk te doen aan wet­te­lij­ke ver­eis­ten. Dit sluit aan bij de voor­ge­stel­de Digi­ta­le Omni­bus­ver­or­de­ning van de Euro­pe­se Com­mis­sie, die inzet op gehar­mo­ni­seer­de inci­den­trap­por­ta­ge via één cen­traal loket.

 

Fase 5: Moni­to­ring

De moni­to­ring­fa­se de laat­ste stap in de levens­cy­clus. Orga­ni­sa­ties moe­ten con­ti­nu beoor­de­len of con­trac­tu­e­le ver­plich­tin­gen wor­den nage­leefd en of het AI-sys­teem in de prak­tijk blijft vol­doen aan de afge­spro­ken stan­daar­den.

Dui­de­lijk gede­fi­ni­eer­de KPI’s voor model­pres­ta­ties, zoals nauw­keu­rig­heid, laten­cy en het aan­tal hal­lu­ci­ne­ren­de out­puts, even­als bevei­li­gings­me­trics, spe­len hier­in een cen­tra­le rol. Zij maken onder­pres­te­ren meet­baar en min­der vat­baar voor dis­cus­sie.

 

De cyclus blijft door­gaan

Hoe­wel deze vijf fasen de cyclus rond­ma­ken, ein­digt de levens­cy­clus van AI-con­trac­ten hier niet. Gezien de aard en ont­wik­ke­lin­gen rond­om AI leidt nieu­we regel­ge­ving dan wel ver­an­de­ren­de omstan­dig­he­den ertoe dat het con­tract­ma­na­ge­ment­pro­ces opnieuw wordt door­lo­pen.

Een AI-con­tract moet daar­om wor­den gezien als een levend docu­ment, en niet als iets dat na onder­te­ke­ning op de plank komt te lig­gen. Door con­ti­nu zowel het AI-sys­teem als de rele­van­te regel­ge­ving te moni­to­ren, kun­nen orga­ni­sa­ties tij­dig sig­na­le­ren wan­neer aan­pas­sin­gen nodig zijn en opnieuw de levens­cy­clus door­lo­pen: ana­ly­se­ren, risico’s her­be­oor­de­len, het con­tract actu­a­li­se­ren en de moni­to­ring voort­zet­ten. Zo blijft het con­tract robuust en toe­komst­be­sten­dig zolang het AI-sys­teem in gebruik is.