AANDACHT VOOR AI: Het contracteren van AI
Blog
Het inkopen van AI is anders dan het inkopen van meer traditionele IT. Een uitdaging is dat de klant meestal niet weet hoe de techniek werkt. Degene die de techniek ontwerpt, weet vaak niet hoe de klant de techniek zal gebruiken (of misbruiken). En zelfs als conceptueel bekend is hoe de techniek werkt, dan nog kunnen verrassingen ontstaan door de data die is gebruikt om het AI-systeem te trainen. Ieder van deze uitdagingen zorgt voor risico’s. Wanneer we AI-diensten inkopen, helpt het als we ons daarvan bewust zijn.
Welke specifieke aandachtspunten relevant zijn, kun je vaststellen met behulp van het antwoord op de volgende vragen:
- Waarvoor wordt het AI-systeem straks ingezet? Waarvoor gaan we erop vertrouwen?
- Wat proberen we hier te realiseren? Wat is het doel?
- In hoeverre kunnen en gaan onze mensen de uitkomsten nog controleren voordat die worden toegepast? Kunnen we tijdens de rit nog bijsturen?
- Wat kan er misgaan?
- In hoeverre heeft het AI-systeem zich al bewezen in dezelfde of een goed vergelijkbare omgeving?
- In hoeverre bepaal je als klant de inrichting van het AI-systeem, bijvoorbeeld door het te trainen in de eigen omgeving of met eigen data sets?
Hoe meer de leverancier begrijpt van het specifieke gebruik van de klant, hoe meer je op de leverancier kunt vertrouwen. Als je zelf het specifieke gebruik bepaalt, moet je daar ook meer verantwoordelijkheid voor nemen. Dat betekent onder andere dat je meer zult moeten testen voordat je het in een productieomgeving toepast. Vanuit klantperspectief is het logisch om te willen begrijpen hoe de techniek werkt. Dat is geen blijk van wantrouwen naar de leverancier, maar van het nemen van verantwoordelijkheid door de klant.
In deze bijdrage bespreken we enkele adviezen voor het contracteren van AI vanuit klantperspectief. De bepalingen van de AI-verordening (‘AI Act’) kunnen ook relevant zijn, maar bespreken we niet in deze blog. Wanneer de leverancier het AI-systeem als SaaS-oplossing aanbiedt (als een softwaredienst, meestal vanuit de ‘cloud’), zijn ook de aandachtspunten in een eerder in Contracteren verschenen artikel relevant.
Gebruiksbeperkingen
Vaak staat in overeenkomsten dat de software alleen gebruikt mag worden voor internal business use. Dat is voor de meeste toepassingen te beperkend geformuleerd. Want software is vaak niet alleen voor intern gebruik. Bij gebruik van een AI-systeem voor het genereren voor de juiste salesteksten, is de bedoeling dat de output juist extern wordt gebruikt. Om iets te verkopen is communicatie met mensen buiten de organisatie essentieel. Bepaal dus expliciet dat het beoogde gebruik is toegestaan om een licentiegeschil te voorkomen.
In voorwaarden voor AI-diensten staat soms opgenomen dat het ontwikkelen van nieuwe producten of diensten niet is toegestaan. De kans bestaat – bijvoorbeeld bij het gebruik van AI voor het ontwikkelen van code – dat je de AI-dienst juist wel wil gebruiken om nieuwe producten te maken of bestaande producten te verbeteren. De leverancier maakt zich waarschijnlijk vooral zorgen over het maken van concurrerende diensten. Dan heeft die er geen moeite mee als je hele andere nieuwe producten en diensten ontwikkelt. Het helpt dan om deze bepaling te verduidelijken.
Output
Het AI-systeem geeft een bepaalde output. Wie mag gebruikmaken van deze output? Alleen de klant of ook de leverancier? Mag de leverancier de input/output van de klant gebruiken voor het trainen van het systeem? Of dit wenselijk is, hangt af van waarvoor de klant het AI-systeem gebruikt en welke data de klant hiervoor beschikbaar stelt. Als het om vertrouwelijke gegevens gaat, is het belangrijker om de data te beschermen dan als het geaggregeerde gegevens zijn die niet herleidbaar zijn naar individuen of de organisatie.
In welke mate is de leverancier verantwoordelijk voor de output van het systeem of het gebruik dat daarvan wordt gemaakt? Dat is afhankelijk van de context. Een eerste stap is bepalen dat de klant door het gebruik van het AI-systeem geen inbreuk maakt (los van zijn eigen input), omdat het door de leverancier gebruikte trainingsmateriaal geen inbreuk oplevert. Voor zover de klant het gebruikt als bedacht door de leverancier, kan de leverancier veel verantwoordelijkheid dragen. En omgekeerd: naarmate je als klant meer invloed hebt uitgeoefend op hoe de techniek werkt (bijvoorbeeld door eigen configuratie of training op een eigen dataset), kun je als klant ook meer verantwoordelijkheid nemen voor de output en het gebruik daarvan. Bijvoorbeeld door het testen van het systeem en het beoordelen van de output.
Uitleg
Gebruik van een AI-systeem kan schade met zich meebrengen. Om te achterhalen hoe bepaalde schade is ontstaan, is vaak informatie van de leverancier nodig. De leverancier zal deze transparantie niet altijd willen bieden uit vrees voor een aansprakelijkstelling door de klant. Het is nuttig om vooraf te bepalen dat je als klant toegang krijgt tot bijvoorbeeld de logs van het AI-systeem om te achterhalen wat er precies is gebeurd (ook bij niet hoog risico AI). Je zou ook kunnen denken aan een bepaling die de bewijslast legt bij de leverancier (of een vrijwaring voor de aanspraken van derden) als de leverancier onvoldoende transparantie geeft om te achterhalen waardoor de schade precies is ontstaan.
Incidenten
Een verplichting om de output van het AI-systeem te monitoren en de klant op de hoogte te stellen als het AI-systeem niet helemaal functioneert zoals het zou moeten functioneren, bijvoorbeeld bij onwenselijke output, draagt bij aan het mitigeren van eventuele risico’s (zoals de bijsluiter bij een geneesmiddel wordt aangepast).
Representation
Een representation is een Angelsaksisch figuur, die wij in het Nederlandse contractenrecht niet met eenzelfde betekenis kennen. In veel voorwaarden van AI-diensten staat zo’n figuur, die meestal beperkt wat je van de software mag verwachten. Een beperkte representation is een beperkte toezegging en niet meer dan dat. Je zou die figuur ook kunnen gebruiken om aan te scherpen wat je als klant mag verwachten:
‘Supplier represents that the Application:
– has been developed and will perform in a way that is in compliance with laws and regulations;
– has been developed according to a motivated approach designed to prevent unjust biases;
– will perform accurately and correctly;
– is suitable for the Documented Use.’
Audit
Het kan handig zijn om te bepalen dat je als klant een auditrecht hebt, ook om de eigen verantwoordelijkheid te vervullen, om te verantwoorden hoe bepaalde beslissingen tot stand zijn gekomen.
Continuïteit
In de meeste gevallen is het onhandig of zelfs problematisch als het gebruik van een applicatie plotseling moet worden gestopt. Bij AI speelt ook nog dat de resultaten waarschijnlijk bruikbaar moeten blijven en in sommige gevallen ook dat je beslissingen later nog kunt uitleggen. Dat vergt een overgangsperiode na beëindiging, een voortdurend gebruiksrecht en wellicht zelfs een beperkte, maar voortdurende toegang tot het AI-systeem. Waar relevant is het zaak dat bij het aangaan van de overeenkomst te regelen.
Keywords
Auteur(s)
Advocaat bij Van Doorne
Advocaat bij Van Doorne N.V. te Amsterdam