AI inkoop en contracten: hoe borg je compliance aan de voorkant
Zahed AshkaraAI Compliance Expert
10 minutenEU AI Act3 juli 2025
Mis geen AI-ontwikkelingen meer
Ontvang wekelijks de nieuwste inzichten over AI-ontwikkelingen, praktische toepassingen en relevante updates voor professionals. Geen spam, alleen waardevolle content.
💡 Join 2.500+ professionals uit verschillende sectoren die al profiteren van onze AI-inzichten
Laden...
Blijf op de hoogte van AI-ontwikkelingen
Ontvang wekelijks praktische AI-tips en relevante updates die je direct in je werk kunt toepassen.
Dit is aflevering 6 van onze serie 'AI in de Publieke Sector'. In de vorige aflevering bespraken we menselijk toezicht bij AI-systemen. Deze week duiken we in de cruciale rol van inkoop en contracten bij AI-compliance.
De blinde vlek bij AI-inkoop
Bij de aanschaf van een nieuwe HR-applicatie vroeg niemand van de gemeente Rivierstad destijds of er AI in zat. Pas toen een medewerker een melding kreeg met een "fit score" voor een interne sollicitant, werd duidelijk dat de softwareleverancier een embedded AI-module had toegevoegd. Het contract? Dat rept met geen woord over explainability, bias-logs of een stopknop.
Deze casus staat niet op zichzelf: bij veel publieke organisaties sluipen AI-functionaliteiten binnen via SaaS-pakketten zonder dat juridische of ethische eisen vooraf zijn gesteld. Het gevolg is dat organisaties achteraf moeten problemen oplossen die ze aan de voorkant hadden kunnen voorkomen.
De realiteit is dat veel inkoop- en contractteams nog niet zijn toegerust om AI-gerelateerde risico's te herkennen, laat staan om deze contractueel af te dekken. Tegelijkertijd maken leveranciers steeds vaker gebruik van AI-functionaliteiten zonder dit expliciet te communiceren. Dit creëert een gevaarlijke blinde vlek in de compliance-keten.
De AI Act en de ketenverantwoordelijkheid
De EU AI Act maakt korte metten met dat gemak. Deployers (gebruikers) van high-risk AI-systemen moeten kunnen aantonen dat het systeem aan de wet voldoet1. Dit geldt óók als het model via een leverancier komt. Inkoop is dus geen technische bijzaak maar het startpunt van compliance.
De wet introduceert een duidelijke ketenverantwoordelijkheid waarbij elke partij in de AI-waardeketen specifieke verplichtingen heeft. Providers moeten zorgen voor conformiteitsbeoordelingen en CE-markering, maar deployers blijven verantwoordelijk voor correct gebruik en monitoring. Als een aanbieder niet kan leveren wat je nodig hebt—denk aan bias logs of FRIA-input—dan zit jouw organisatie straks met de gebakken peren bij een audit of incident.
Deze ketenverantwoordelijkheid betekent dat compliance niet kan worden afgeschoven op de leverancier. Organisaties moeten actief eisen stellen en deze ook kunnen verifiëren. Dit vereist een fundamentele verschuiving in hoe we over inkoop en contractering denken: van passieve afnemer naar actieve compliance-partner.
Welke eisen horen standaard in je contract?
Effectieve AI-contracten gaan verder dan standaard leveringsvoorwaarden. Ze moeten specifieke technische en organisatorische maatregelen borgen die compliance mogelijk maken. Hier zijn de essentiële elementen:
Explainability en transparantie
Het systeem moet een begrijpelijke rationale per beslissing kunnen tonen. Geen black box, maar een model dat uitlegt waarom een bepaald resultaat is gegeven. Dit betekent dat leveranciers moeten kunnen aantonen welke factoren hebben bijgedragen aan een specifieke output en in welke mate.
Contractueel moet je vastleggen dat explainability-functies beschikbaar zijn voor eindgebruikers en dat deze uitleg voldoet aan de eisen van de AI Act. Denk aan real-time uitleg van beslissingen, identificatie van de belangrijkste beïnvloedende factoren, en mogelijkheden voor gebruikers om uitleg op te vragen.
Bias- en performance monitoring
Leveranciers moeten structureel logs aanleveren waarin bias checks, accuracy, false positive/negative rates en datadrift zichtbaar zijn. Deze logs moeten niet alleen beschikbaar zijn, maar ook regelmatig worden geüpdatet en geanalyseerd.
Stel eisen aan de frequentie van monitoring (bijvoorbeeld maandelijks), de metrics die gerapporteerd moeten worden, en de drempelwaarden waarbij actie ondernomen moet worden. Zorg dat je toegang hebt tot ruwe data zodat je eigen analyses kunt uitvoeren.
Mitigatie-opties en correctiemogelijkheden
Eis dat er functies zijn voor post-processing correcties of calibraties en dat deze technisch toegankelijk zijn voor de deployer. Dit omvat mogelijkheden om bias te corrigeren, beslissingen handmatig te overrulen, en het model bij te stellen op basis van feedback.
Belangrijk is dat deze mitigatie-opties niet alleen theoretisch bestaan, maar ook praktisch bruikbaar zijn voor jouw organisatie. Contracteer daarom ook training en ondersteuning bij het gebruik van deze functies.
Stopknop en shadow mode
De mogelijkheid om een model onmiddellijk te pauzeren zonder afhankelijkheid van de leverancier is cruciaal. Shadow mode-opties om nieuwe versies eerst zonder impact te testen zijn eveneens essentieel voor verantwoorde implementatie.
Een effectieve stopknop betekent dat jouw organisatie zelfstandig kan ingrijpen bij problemen, zonder te hoeven wachten op de leverancier. Shadow mode stelt je in staat om updates en wijzigingen eerst te testen voordat ze live gaan.
Data governance en kwaliteitseisen
Beschrijf welke brondata, annotatieprocessen en samplingstrategieën leveranciers moeten documenteren. Data governance is de basis van betrouwbare AI, dus stel hoge eisen aan documentatie en traceerbaarheid.
Dit omvat inzicht in de herkomst van trainingsdata, de methoden voor data-annotatie, bias-checks in de dataset, en procedures voor data-updates. Zorg dat je kunt verifiëren dat de data representatief is voor jouw use case.
Auditrecht en rapportage
Contractueel vastgelegde audits, met bijbehorende rapportages die aansluiten bij de AI Act en jouw interne algoritmeregister2. Auditrecht geeft je de mogelijkheid om onafhankelijk te verifiëren dat het systeem voldoet aan de afgesproken eisen.
Definieer de scope van audits, de frequentie, en wie deze mag uitvoeren. Zorg dat rapportages in een format komen dat direct bruikbaar is voor compliance-doeleinden en transparantieregistraties.
Hoe verwerk je dit in je aanbesteding?
Een succesvolle AI-aanbesteding begint met grondige voorbereiding en duidelijke eisen. De traditionele aanpak van functionele specificaties volstaat niet voor AI-systemen die inherent complexer en minder voorspelbaar zijn.
AI-vragenlijst en marktverkenning
Start met een AI-vragenlijst bij marktverkenning: welke AI-functionaliteiten zitten erin, hoe worden ze geborgd, wat is de keten van (sub)leveranciers? Deze fase is cruciaal om te begrijpen wat de markt kan bieden en waar de risico's liggen.
Belangrijke vragen zijn: Welke AI-technologieën worden gebruikt? Hoe wordt bias voorkomen en gemonitord? Welke data wordt gebruikt voor training? Hoe wordt explainability geborgd? Welke certificeringen heeft de leverancier? Wie zijn de subleveranciers in de AI-keten?
Programma van eisen en gunningscriteria
Vervolgens veranker je de AI-eisen in je programma van eisen en gunningscriteria. Maak onderscheid tussen must-haves (bijvoorbeeld conformiteit met de AI Act) en nice-to-haves (bijvoorbeeld geavanceerde explainability-features).
Weeg compliance-aspecten zwaar mee in de gunning. Een goedkope oplossing die niet voldoet aan de AI Act wordt uiteindelijk veel duurder door compliance-problemen en mogelijke sancties.
Modeldocumenten en standaardisering
Voeg modeldocumenten zoals een AI compliance annex toe waarin deze randvoorwaarden gestandaardiseerd staan. Dit voorkomt dat je bij elke aanbesteding opnieuw het wiel moet uitvinden en zorgt voor consistentie binnen je organisatie.
Ontwikkel templates voor AI-contractclausules, checklists voor AI-beoordelingen, en standaard rapportageformats. Dit maakt het proces efficiënter en verhoogt de kwaliteit van je contracten.
Expertise in de beoordelingscommissie
Veel gemeenten kiezen er inmiddels voor om AI-experts of ethische adviseurs aan te laten schuiven bij de beoordelingscommissie. Zo voorkom je dat mooie beloftes op de pitchslide sneuvelen zodra het contract juridisch wordt.
Deze experts kunnen technische claims verifiëren, risico's inschatten, en ervoor zorgen dat compliance-eisen realistisch en haalbaar zijn. Investeer in deze expertise, want de kosten wegen niet op tegen de risico's van een slecht AI-contract.
Praktijkvoorbeeld: AI-inhuur bij een sociaal domein-app
Een middelgrote gemeente eiste in 2024 in haar aanbesteding van een sociaal domein-app specifieke AI-compliance maatregelen. Het resultaat toont zowel de kracht als de uitdagingen van proactieve contractering.
De gestelde eisen
De gemeente stelde drie kernvereisten:
Realtime uitleg van de beslissing (top 3 beïnvloedende factoren)
Kwartaalrapportages met fairness-scores per demografische groep
Mogelijkheid tot modelpauze door de gemeente zelf
Deze eisen werden opgenomen als harde criteria in het programma van eisen, met bijbehorende bewijslast voor leveranciers.
De implementatie-uitdaging
Bij implementatie bleek dat het model in eerste instantie niet kon uitleggen hoe de adviesscore tot stand kwam. De leverancier had explainability als feature genoemd, maar deze was niet operationeel voor het specifieke model dat gebruikt werd.
De leverancier moest bijbetalen om explainability-tooling aan te passen en te integreren. Dit kostte drie maanden extra ontwikkeltijd en 15% meerkosten, maar leverde uiteindelijk een systeem op dat volledig voldeed aan de eisen.
De lessen
Eisen stellen werkt—maar alleen als je ze ook handhaaft. De gemeente had de moed om implementatie te vertragen totdat aan alle eisen was voldaan. Dit leidde tot korte termijn frustratie maar lange termijn compliance.
Technische verificatie is essentieel. Claims over AI-functionaliteit moeten worden geverifieerd met proof-of-concepts of demo's tijdens het aanbestedingsproces.
Budgetteer voor compliance. AI-compliance heeft vaak technische aanpassingen tot gevolg die kosten met zich meebrengen. Plan hier van tevoren voor.
Contracten en samenwerking met juridische en inkoopteams
AI-compliance in contracten vraagt nauwe samenwerking tussen verschillende disciplines. De traditionele scheiding tussen juridisch, IT, inkoop en compliance werkt niet voor AI-projecten die alle domeinen raken.
Multidisciplinaire aanpak
Effectieve AI-contractering vereist input van:
Juridische afdeling: AI Act-compliance, aansprakelijkheid, privacy
Ontwikkel standaard AI-clauses, annexen en checklists om deze samenwerking structureel te maken. Dit voorkomt dat expertise verloren gaat bij personeelswisselingen en zorgt voor consistente kwaliteit.
Voorbeelden van nuttige tools:
AI-risico assessment template
Standaard contractclausules voor verschillende AI-categorieën
Checklist voor technische verificatie
Rapportageformat voor compliance-monitoring
Training en bewustwording
Train inkoop- en contractmanagers in de basics van de AI Act en AI-technologie. Ze hoeven geen experts te worden, maar moeten wel weten wanneer ze specialistische hulp nodig hebben.
Organiseer regelmatige kennissessies waar verschillende afdelingen leren van elkaars expertise. AI-compliance is een teamsport die alleen succesvol is als iedereen zijn rol begrijpt.
Wat je morgen kunt doen
Wacht niet op de perfecte AI-strategie voordat je begint met betere contractering. Er zijn concrete stappen die je direct kunt zetten:
Herzie lopende contracten
Inventariseer welke van je huidige leveranciers AI-functionaliteiten gebruiken, ook als dit niet expliciet in het contract staat. Veel SaaS-leveranciers hebben inmiddels AI-features toegevoegd zonder dit te communiceren.
Identificeer compliancegaten in bestaande contracten en plan contractwijzigingen of addenda. Focus eerst op high-risk systemen en kritieke processen.
Ontwikkel standaardtools
Begin met het ontwikkelen van een standaard AI-aanbestedingsbijlage (compliance annex) die je bij toekomstige aanbestedingen kunt gebruiken. Start simpel en breid uit op basis van ervaring.
Maak een checklist van AI-gerelateerde vragen die bij elke aanbesteding gesteld moeten worden. Dit voorkomt dat belangrijke aspecten over het hoofd worden gezien.
Bouw expertise op
Train je inkoop- en contractteams in de basics van de AI Act en AI-compliance. Investeer in externe expertise waar nodig, maar bouw ook interne kennis op.
Netwerk met andere organisaties die vergelijkbare uitdagingen hebben. Veel gemeenten en overheidsorganisaties delen graag ervaringen en best practices.
De strategische waarde van proactieve AI-contractering
Goede AI-contractering is meer dan risicomanagement—het is een strategisch instrument dat organisaties helpt om verantwoord te innoveren. Door compliance-eisen vooraf vast te leggen, creëer je ruimte voor experimentatie binnen duidelijke kaders.
Organisaties die vooroplopen in AI-contractering ontwikkelen een concurrentievoordeel. Ze kunnen sneller nieuwe AI-toepassingen implementeren omdat de compliance-basis al is gelegd. Ze trekken betere leveranciers aan die serieus zijn over verantwoorde AI. En ze voorkomen kostbare compliance-problemen die achteraf veel moeilijker op te lossen zijn.
De investering in betere AI-contractering betaalt zich terug door vermeden risico's, snellere implementaties, en betere leverancierrelaties. Maar vooral creëert het de basis voor duurzame AI-adoptie die waarde levert zonder de organisatie in gevaar te brengen.
In aflevering 7 van onze serie duiken we in het registratie- en transparantietraject: hoe en waar leg je vast welke modellen je gebruikt en wat ze doen? Van EU-database tot het Nederlandse algoritmeregister.
🎯 Gratis EU AI Act Compliance Check
Ontdek in 5 minuten of jouw AI-systemen voldoen aan de nieuwe EU AI Act wetgeving. Onze interactieve tool geeft je direct inzicht in compliance-risico's en concrete actiestappen.
