Wat u van uw AI-leverancier mag eisen — en hoe u dat contractueel vastlegt

Gepubliceerd op 3 mei 2026 om 16:17

 

Welke verplichtingen heeft een AI-leverancier onder de EU AI Act? Veel organisaties denken dat de AI Act vooral hun leveranciers raakt en dat zij als gebruiker weinig hoeven te doen. Dat is een misvatting die duur kan uitpakken. De wet maakt een duidelijk onderscheid tussen de provider — degene die het AI-systeem ontwikkelt en op de markt brengt — en de deployer, de organisatie die het systeem inkoopt en inzet. Beide partijen hebben eigen, niet-overdraagbare verplichtingen.

Als deployer kunt u aansprakelijkheid niet volledig bij uw leverancier neerleggen. Maar u kunt wel eisen dat uw leverancier zijn deel van de wet naleeft — en dat contractueel borgen. In dit artikel leest u precies wat u mag eisen, welke AI contract verplichtingen onder de AI Act voor u gelden, en hoe u dat afdwingbaar vastlegt voordat u tekent.

🔍  Weet u al of uw AI-systeem hoog-risico is?

Doe de gratis AI Act classificatiescan op aicompliancy.nl. In 7 stappen weet u of uw systeem hoog-risico is en welke contractuele eisen dat meebrengt. Direct inzicht, geen juridisch jargon.

Deze tool geeft een eerste indicatie op basis van de EU AI Act (Verordening EU 2024/1689). De uitkomst is geen juridisch advies en vervangt geen professionele beoordeling. Twijfelt u over de classificatie van uw systeem? Neem contact op voor een persoonlijk adviesgesprek.

Twee rollen, twee verantwoordelijkheden

Wat is het verschil tussen een AI-provider en een AI-deployer? De EU AI Act (Verordening EU 2024/1689) definieert twee hoofdrollen. De aanbieder (provider) ontwikkelt en brengt een AI-systeem op de markt. De deployer koopt het in en zet het in binnen de eigen organisatie. De zwaarste technische verplichtingen — zoals het opstellen van technische documentatie, het uitvoeren van conformiteitsbeoordelingen en het registreren in de EU AI-database — liggen bij de aanbieder.

Maar de wet is duidelijk: ook als deployer heeft u verplichtingen. U bent verantwoordelijk voor correct gebruik, voor menselijk toezicht, voor het informeren van betrokkenen en voor het melden van incidenten aan de toezichthouder. U kunt die verantwoordelijkheid niet contractueel overdragen aan uw leverancier.

Wat uw leverancier wettelijk verplicht is te leveren

Welke documentatie is een AI-leverancier verplicht aan te leveren? Voor hoog-risico AI-systemen — en dat zijn veel meer systemen dan organisaties denken — gelden strikte vereisten voor de aanbieder. Uw leverancier is wettelijk verplicht om u de volgende informatie te verschaffen:

  • Technische documentatie conform Annex IV van de AI Act: hoe werkt het model, op welke data is het getraind, hoe is het getest? (Art. 11)
  • Gebruikersinstructies die u als deployer in staat stellen het systeem correct te gebruiken en menselijk toezicht in te richten (Art. 13)
  • Bewijs van conformiteitsbeoordeling — intern of extern — waaruit blijkt dat het systeem voldoet aan de AI Act-vereisten (Art. 43)
  • Informatie over beperkingen en risico's van het systeem, inclusief bekende kwetsbaarheden en aanbevolen voorzorgsmaatregelen (Art. 13)
  • Melding van ernstige incidenten aan de markttoezichthouder binnen 15 werkdagen na ontdekking (Art. 73)

Als uw leverancier deze informatie niet kan of wil verstrekken, is dat een ernstig signaal. Het kan betekenen dat het systeem niet voldoet aan de AI Act — en dat u als deployer bij gebruik ook in overtreding bent.

Zeven eisen die u contractueel moet vastleggen

Wat moet er in een contract met een AI-leverancier staan? De AI Act legt bepaalde verplichtingen expliciet bij de deployer neer, maar geeft u ook de middelen om die te borgen via uw leverancierscontract. Onderstaande tabel geeft een overzicht van de zeven meest kritieke contractuele eisen voor hoog-risico AI-systemen.

 

Hoe u deze eisen afdwingbaar maakt:

Een contractuele eis heeft alleen waarde als u die ook kunt afdwingen. Zorg daarom altijd voor de volgende contractbepalingen:

  • Consequenties bij niet-nakoming — wat gebeurt er als de leverancier de documentatie niet levert of een incident niet meldt? Denk aan boeteclausules of ontbindingsrechten.
  • Periodieke her certificering — AI-systemen veranderen. Leg vast dat de leverancier u informeert bij significante wijzigingen aan het model of de trainingsdata.
  • Toepasselijk recht en bevoegde rechter — zeker bij buitenlandse leveranciers is dit cruciaal voor afdwingbaarheid.

Vendor Due Diligence: controleer vóór u tekent

Hoe voer ik een due diligence uit op een AI-leverancier? Voordat u een contract tekent, is het verstandig een gestructureerde leveranciersbeoordeling uit te voeren. Dit noemen we AI vendor due diligence. Hierbij stelt u de leverancier een gestandaardiseerde vragenlijst voor en beoordeelt u de antwoorden op volledigheid en geloofwaardigheid.

De due diligence omvat minimaal de volgende controles:

  • Is het systeem geregistreerd in de EU AI-database? Controleer dit via de openbare EU-databank (Art. 71).
  • Heeft de leverancier een intern kwaliteitsbeheersysteem? Dit is verplicht voor aanbieders van hoog-risico AI (Art. 17).
  • Zijn er onafhankelijke auditresultaten beschikbaar? Bij kritieke systemen is een externe audit sterk aan te bevelen.
  • Wat is de trackrecord van de leverancier? Zijn er eerdere incidenten, klachten of handhavingsacties bekend?

De Vendor Due Diligence Checklist AI Act van aicompliancy.nl bevat 37 gestructureerde vragen verdeeld over zeven domeinen. Direct inzetbaar als bijlage bij uw offertetraject of contractonderhandelingen. Voor meer info, neem contact op.

Wat als uw leverancier buiten de EU is gevestigd?

Geldt de EU AI Act ook voor leveranciers buiten de Europese Unie? Ja. De AI Act heeft extraterritoriale werking: ook aanbieders die buiten de EU zijn gevestigd maar AI-systemen op de EU-markt brengen, vallen onder de wet. Zij zijn verplicht een gemachtigde vertegenwoordiger in de EU aan te stellen (Art. 22). Voor u als deployer betekent dit dat u bij buitenlandse leveranciers extra moet controleren of deze verplichtingen zijn nageleefd.

Praktisch advies: neem in uw contract op dat de leverancier verklaart te voldoen aan de EU AI Act, een EU-vertegenwoordiger heeft aangesteld, en u onmiddellijk informeert bij wijzigingen in die status.

Veelgestelde Vragen over AI leveranciers

AI‑contracten roepen vaak dezelfde praktische vragen op: wat moet er minimaal geregeld zijn, welke risico’s kun je afdekken en hoe borg je dat een leverancier écht levert wat hij belooft. In deze FAQ vind je heldere antwoorden die je helpen sneller en zekerder keuzes te maken.

Kan ik als deployer aansprakelijkheid volledig overdragen aan mijn leverancier?

Nee. De EU AI Act legt eigen, niet-overdraagbare verplichtingen op aan deployers: correct gebruik borgen, menselijk toezicht inrichten, betrokkenen informeren en incidenten melden. U kunt contractueel eisen dat uw leverancier zijn verplichtingen naleeft, maar uw eigen aansprakelijkheid als deployer kunt u niet wegcontracteren.

Wat zijn de gevolgen als mijn leverancier de technische documentatie niet levert?

Als uw leverancier de verplichte Annex IV-documentatie niet verstrekt, kunt u niet aantonen dat u voldoende due diligence heeft uitgevoerd. Bij een controle door de toezichthouder loopt u het risico op handhaving — ook als u de overtreding van de leverancier niet kende. Neem in uw contract op dat niet-nakoming leidt tot ontbindingsrecht of schadevergoeding.

Geldt de contractuele verplichting ook voor bestaande contracten?

Ja. Als uw bestaande AI-contract niet voldoet aan de AI Act-vereisten, moet u het aanvullen of herzien vóór augustus 2026. Neem contact op met uw leverancier om een addendum op te stellen. Gebruik de Vendor Due Diligence Checklist als basis voor het gesprek.

Of voeg tussenkoppen toe Hoe weet ik of mijn AI-leverancier het systeem heeft geregistreerd in de EU-database?om het geheel overzichtelijk te maken

De EU-database voor hoog-risico AI-systemen is openbaar toegankelijk via de website van de Europese Commissie. U kunt hier zoeken op de naam van het systeem of de leverancier. Is het systeem niet geregistreerd terwijl het wel hoog-risico is? Dan is de leverancier in overtreding en is dat een contractueel afdwingbaar punt.

Moet ik voor elk AI-systeem een apart due diligence-traject doorlopen?

Voor elk hoog-risico AI-systeem is een gedocumenteerde leveranciersbeoordeling vereist. Voor systemen met beperkt of minimaal risico is een lichtere beoordeling voldoende. De Vendor Due Diligence Checklist van aicompliancy.nl is modulair opgebouwd, zodat u per systeem de relevante vragen kunt selecteren.

«