Nieuws

AI in actie: AI-contracteren en de zorgplicht (3/12)

Gepubliceerd op 24 aug. 2023

Onze mensen

Er lijkt geen maat te staan op de opkomst van Artificial Intelligence (‘AI’). Door de opkomst van ChatGPT is AI in een korte tijd bekend geworden bij een breed publiek, maar AI omvat veel meer dan chatbots. Denk aan toepassingen op het gebied van gezondheid (zoals het detecteren van kanker), werkgelegenheid, videogames en jouw YouTube feed. AI komt terug in bijna alle facetten van het dagelijkse leven. Reden genoeg dus om stil te staan bij het juridisch kader van AI. In deze blogreeks behandelt het Holla AI-team verschillende juridische vraagstukken op het gebied van AI. Onderstaande blog is deel 3 van de reeks en gaat in op het stukje IT en de zorgplicht bij AI.

AI als software

Systemen die gebruik maken van AI bestaan over het algemeen grotendeels uit software. Het deel dat ziet op de AI-werking bestaat uiteindelijk uit bepaalde algoritmes die (in een bepaalde programmeertaal) geïmplementeerd worden in software. De software voert vervolgens de algoritmes uit. Het is daarom belangrijk om je te realiseren dat AI (grotendeels) een softwareproduct en/of -dienst is waarbij bij het contracteren (aankoop, verkoop, implementatie en onderhoud) van AI-systemen alle facetten van het IT-recht een rol spelen.

Zorgplicht voor de AI-leverancier

Een belangrijk facet van het IT-recht en IT-contracten is de zorgplicht. Een leverancier van IT, in dit geval in de vorm van een AI-systeem, heeft een (bijzondere) zorgplicht ten opzichte van haar klant. Dit komt omdat de IT-leverancier een kennisvoorsprong heeft op de klant. De leverancier wordt immers door de afnemer ingeschakeld omdat de leverancier er verstand van heeft. Die voorsprong resulteert in de (bijzondere) zorgplicht van de IT-leverancier wanneer er sprake is van het leveren en implementeren van een AI-systeem. Of de leverancier aan de zorgplicht heeft voldaan wordt door de rechter ingevuld aan de hand van de specifieke feiten en omstandigheden van het geval. Uit eerdere uitspraken van rechters zijn daarom wel een aantal key points te halen over hoe de zorgplicht voor de IT-leverancier wordt ingevuld. Om te beginnen dient de IT-leverancier een deugdelijk onderzoek te doen naar de bedrijfsstructuur van de klant (RBC/ Brinkers) voordat hij advies uitbrengt. Indien er zich voor de klant grote risico’s voordoen dient de IT-leverancier de klant daarop te wijzen (Breikant). Voorts dient de IT-leverancier de voortgang van het project proactief te bewaken (Kwetters/Profuse) en zo nodig in te grijpen, de klant aan te spreken, of indien dit alles niet mogelijk is, de opdracht neer te leggen (Split~Vision). De klant mag verwachten dat de IT-leverancier werkt met inachtneming van de standaarden en normen die in de branche gebruikelijk zijn (Smart Connections/Allsafe). Tijdens de implementatie dient de IT-leverancier er alles aan te doen om het project te laten slagen, inclusief deugdelijk projectmanagement (Alert/Tweesteden Ziekenhuis). Hier hoort ook bij dat de IT-leverancier het belang van de klant altijd voorop dient te stellen en de klant moet blijven informeren (CGI/Staalbankiers) Bij oplevering mag de klant in ieder geval de functionaliteit verwachten die bij aanvang aan de IT-leverancier is kenbaar gemaakt (Exact/Brandmeester’s).

AI-contracteren

Gezien het voorgaande is het van belang dat in de hoofdovereenkomst en bijvoorbeeld de Service Level Agreement (‘SLA’) duidelijke afspraken worden gemaakt over onder meer de verschillende (implementatie)fasen, over aansprakelijkheid, geheimhouding en over het intellectuele eigendom. Eigendom op data(sets) is vanuit de Nederlandse wetgeving lastig nu data niet kwalificeert als een zaak. Zaken zijn volgens de wet namelijk “voor menselijke beheersing vatbare stoffelijke objecten”. Reden te meer om duidelijke afspraken te maken in de overeenkomst over het eigendom op de datasets, in aanvulling op de afspraken in de verwerkersovereenkomst of onderlinge regeling over wat met de persoonsgegevens in de datasets mag worden gedaan. Zie ook onze vorige blog.

Wat kunt u nu doen?

Gezien alle bovenstaande key points is het voor partijen verstandig om tijdens het gehele proces van implementatie en dienstverlening van een AI-systeem de zorgplicht en overige verplichtingen uit het IT-recht te borgen. Hoe dit het beste kan worden vormgegeven verschilt per IT-leverancier, type AI-systeem, type dienstverlening en type implementatieproces. In ieder geval geldt dat het belangrijk is om afspraken duidelijk en schriftelijk vast te leggen. Zowel wat de IT-leverancier wel doet en mag doen, maar vooral ook wat niet onder de dienstverlening valt en waar de verantwoordelijkheden van de klant liggen. Mocht u hierover vragen hebben of heeft u hierbij hulp nodig? Neem dan contact op met ons AI-team. Zij helpen u graag verder.