De EU heeft een Code of Practice voor general-purpose AI (GPAI) gepubliceerd die aanbieders helpt aantoonbaar te voldoen aan transparantie, copyright en veiligheid. Formeel is deze code vrijwillig, maar inhoudelijk vormt zij de praktische vertaling van verplichtingen uit de AI Act. Wie inkoopt, wil deze verwachtingen niet alleen aan de leverancier overlaten maar als contractuele eisen vastleggen.
Praktische impact: Per 2 augustus 2025 gelden GPAI-verplichtingen voor nieuwe modellen. Als inkoper wil je dat leveranciers minimaal leveren wat de code en begeleidende documenten redelijkerwijs veronderstellen.
Waarom procurement nú bepalend is
Per 2 augustus 2025 gelden GPAI-verplichtingen voor nieuwe modellen. De Commissie heeft de code gepubliceerd met drie hoofdstukken: transparency, copyright, safety & security. Parallel verscheen het template voor de "Public Summary of Training Content" dat modelproviders moeten gebruiken voor hun openbare samenvatting van trainingscontent.
Dit alles raakt direct aan inkoopvoorwaarden: je wilt dat leveranciers minimaal leveren wat de code en begeleidende documenten redelijkerwijs veronderstellen.
Kort kader: wat regel je contractueel
De hoofdlijn is eenvoudig: leg in het contract vast welke onderdelen van de code en guidance de leverancier aantoonbaar volgt, hoe je dat kunt controleren en wat er gebeurt als dat niet lukt. De details vul je per onderwerp in.
1. Definities, reikwijdte en garanties
Begin met heldere definities van GPAI-model, provider, downstream integrator en release. Laat de leverancier verklaren of hij signatory van de GPAI-code is of, als hij niet tekent, dat hij functioneel gelijkwaardige maatregelen toepast.
Verbind dat aan een garantie dat het geleverde voldoet aan toepasselijke AI Act-verplichtingen voor GPAI en, indien van toepassing, aan de extra plichten voor modellen met systemisch risico. Dit voorkomt discussies over "vrijwillig" versus "verplicht".
Clausulevoorbeeld (uittreksel)
Leverancier garandeert dat het Model en de bijbehorende documentatie in lijn zijn met de EU AI Act, inclusief de verplichtingen voor general-purpose AI modellen als bedoeld in artikel 53 en, indien van toepassing, artikel 55. Indien Leverancier geen ondertekenaar is van de GPAI Code of Practice, past hij maatregelen toe die gelijkwaardige waarborgen bieden zoals beschreven in de hoofdstukken Transparency, Copyright en Safety & Security van die code.
2. Transparantie en modeldocumentatie
Het transparantiehoofdstuk van de code bevat een Model Documentation Form. Leg contractueel vast dat de leverancier dit formulier invult, als appendix meelevert en bij iedere release actualiseert.
Voor jou als afnemer is dit de basis voor due diligence, risicobeoordelingen en technische integratiebesluiten. Koppel hieraan een leveringsmoment (bijvoorbeeld vóór productiegebruik) en een update-termijn (bijvoorbeeld binnen 15 dagen na nieuwe release).
Clausulevoorbeeld (uittreksel)
Leverancier verstrekt bij aanvang en bij iedere release een volledig ingevuld Model Documentation Form conform het Transparantiehoofdstuk van de GPAI-code. Dit document vormt een contractuele bijlage en wordt geacht onderdeel van de Specificaties te zijn.
3. Samenvatting trainingscontent (public summary)
Voor GPAI-providers is de openbare samenvatting van trainingscontent verplicht, te publiceren in het door de Commissie verstrekte template. Vraag niet alleen om een link, maar leg vast dat de inhoud volledig en actueel is en dat de leverancier je informeert wanneer de samenvatting is bijgewerkt.
Voor modellen die vóór 2 augustus 2025 op de markt stonden, loopt de overgangstermijn tot 2 augustus 2027; neem in je contract op hoe de leverancier in die periode transparantie borgt.
Clausulevoorbeeld (uittreksel)
Leverancier publiceert en onderhoudt de Public Summary of Training Content conform het door de Europese Commissie verstrekte template en deelt de link en wijzigingsdatum met Afnemer. Bij gebreke daarvan verstrekt Leverancier op eerste verzoek de in het template gevraagde gegevens rechtstreeks aan Afnemer.
4. Copyright en TDM-opt-outs
Het copyright-hoofdstuk van de code vraagt concrete waarborgen: respecteren van text- en data-mining opt-outs, procedures voor verwijdering van onrechtmatige content, en duidelijke documentatie over datagebruik.
Vertaal dat in operationele eisen (policy, processen) en bewijsstukken (rapporten, logs). Veranker ook een vrijwaring voor claims die voortkomen uit niet-naleving van deze afspraken, met een redelijke carve-out voor door de afnemer aangeleverde data.
Copyright-compliance: Overtredingen die leiden tot aanspraken van rechthebbenden worden door Leverancier afgewikkeld, onverminderd Afnemers recht op schadevergoeding.
5. Veiligheid, beveiliging en systemisch risico
Alle GPAI-providers moeten transparant zijn; de veiligheids- en beveiligingsverplichtingen in de code zijn vooral relevant voor aanbieders met systemisch risico.
Leg vast dat leveranciers, wanneer zij in die categorie vallen of kúnnen vallen, periodieke evaluaties, red-teaming, adversarial testing en risicoreductie uitvoeren en dat zij serieuze incidenten melden bij de AI Office en nationale autoriteiten. Maak daarvan een contractuele meldplicht richting jou, met inhoud, termijn en contactkanaal.
Clausulevoorbeeld (uittreksel)
In geval van een serious incident zoals bedoeld in artikel 55 van de AI Act, meldt Leverancier dit onverwijld aan Afnemer en verstrekt binnen 72 uur een rapport met aard van het incident, impact, getroffen maatregelen en opvolgacties.
6. Wijzigingsbeheer en versie-pinning
Modellen veranderen snel. Beschrijf major en minor releases, maak versie-pinning mogelijk en koppel herbeoordeling aan materiële wijzigingen. Vraag release notes die aansluiten op het Model Documentation Form en de openbare trainingssamenvatting. Zo voorkom je dat een ongewijzigde API onverwacht op een wezenlijk ander model draait.
7. Supply chain en subleveranciers
Veel aanbieders bouwen op andere modellen of infrastructuur. Eis een overzicht van afhankelijkheden (basis-model, hosting, kritieke tooling), plus flow-down van afspraken uit jouw contract naar subleveranciers, inclusief meldplicht bij wissels. Dit sluit aan bij het supply chain-perspectief in het veiligheids-hoofdstuk van de code.
8. Assurance, audit en bewijs
Zonder bewijs blijft compliance een belofte. Leg daarom assurance-momenten vast: bijvoorbeeld jaarlijkse self-attestations tegen de codehoofdstukken, een onafhankelijke auditrapportage of een conformity-assessment zodra relevante geharmoniseerde normen beschikbaar zijn.
Gebruik vandaag al erkende referenties en migreer later naar AI-specifieke EN-normen zodra die in het Publicatieblad staan en presumption of conformity kunnen bieden.
Assurance-strategie
Leverancier verstrekt jaarlijks een assurance-rapport waarin ten minste de controls uit de hoofdstukken Transparency, Copyright en, indien van toepassing, Safety & Security van de GPAI-code zijn opgenomen. Zodra relevante geharmoniseerde normen voor de AI Act beschikbaar zijn, tonen audits aantoonbare dekking daarvan.
9. Aansprakelijkheid, remedies en prijsprikkels
Spreek af wat er gebeurt als documentatie ontbreekt, de public summary niet klopt of incidenten te laat worden gemeld. Denk aan hersteltermijnen, service credits of het recht om kosten voor extra assessments door te belasten.
Bij boetes en toezichtsmaatregelen is volledige overdracht vaak niet realistisch; kies voor gedeelde risico's: de leverancier draagt wat aan zijn kant ligt (bijvoorbeeld niet-naleving van TDM-opt-outs), de afnemer draagt wat voortkomt uit het eigen gebruik buiten specificaties.
10. Downstream plichten van de afnemer
Een GPAI-provider neemt niet alle plichten weg. Als afnemer houd je eigen verantwoordelijkheden, zeker als je het model inzet in een context die later als hoog risico kwalificeert.
Integreer daarom in het contract een responsibility matrix: wat levert de leverancier, wat doe jij zelf (zoals menselijke tussenkomst, logging, gebruikersinformatie) en wanneer moet je herbeoordelen. De transparantie-artefacten uit de code maken dit haalbaar.
Zo ziet een minimale contractset eruit
Een werkbare set bestaat uit:
- Hoofdovereenkomst met definities, garanties, incidentmelding, wijzigingsbeheer en aansprakelijkheid
- Bijlage A: Model Documentation Form (levend document)
- Bijlage B: Link en versie van de Public Summary of Training Content, plus fallback-informatie als de publicatie nog niet beschikbaar is
- Bijlage C: Assurance- en auditplan met tijdpad richting geharmoniseerde normen
Twee korte scenario's
Publieke sector koopt een generatieve API in
De aanbestedende dienst verlangt het Model Documentation Form vóór productiestart, versie-pinning op model 3.x en een procedure voor serious incidents met een 72-uursrapportage. De provider is nog geen signatory, maar committeert zich aan gelijkwaardige maatregelen uit de code. De Public Summary is al gepubliceerd en wordt halfjaarlijks geüpdatet.
Dit geeft de dienst voldoende basis om eigen FRIA/DPIA's te voeden en gebruikersinformatie op te stellen.
Scale-up koopt een embedded model bij een ISV
De ISV integreert een derde-partij basis-model. In het contract worden supply-chainafspraken geflow-downd: als de ISV van basismodel wisselt, volgt een herbeoordeling en update van het Model Documentation Form. Assurance gebeurt via een jaarlijkse audit tegen de codehoofdstukken, later te migreren naar geharmoniseerde normen.
Praktische implementatie in de inkoopcyclus
Start met een vendor-vragenlijst die het Model Documentation Form en de Public Summary spiegelt. Vraag bewijs bij de antwoorden, geen marketingteksten. Leg in je beoordelingsrubric gewicht op transparantie-artefacten, copyrightprocessen en incidentrespons.
Maak daarna een contractmatrix: welke passage uit de code correspondeert met welke clausule en welk bewijsstuk. Plan ten slotte een release-ritme: bij iedere nieuwe release check je de bijgewerkte documentatie en bepaal je of herbeoordeling nodig is.
Dit kost tijd bij de eerste ronde, maar levert voorspelbaarheid op bij volgende releases.
Wat je morgen al kunt doen
- Inventariseer bij bestaande leveranciers of zij de GPAI-code volgen en waar hun public summary staat
- Vraag het Model Documentation Form op en parkeer het als contractbijlage
- Voeg in lopende contracten een addendum toe met transparantie, copyright, incidentmelding en assurance
- Zet een auditpad uit: nu attestations op de code, straks audits tegen EN-normen zodra die in het Publicatieblad staan
Eindresultaat: Met deze aanpak maak je inkoopafspraken die aansluiten op de letter en de geest van de EU AI Act én direct uitvoerbaar zijn. De GPAI-code, het trainingssamenvatting-template en de richtsnoeren leveren de bouwstenen; jouw contracten zorgen dat leveranciers die bouwstenen ook daadwerkelijk aanleveren, op tijd en controleerbaar.
Officiële bronnen:
- European Commission: General-Purpose AI Code of Practice
- European Commission: Guidelines on GPAI Model Providers
- European Commission: Public Summary Template
- EU AI Act Article 53 & 55
- CEN-CENELEC: Artificial Intelligence Standards
- Joint Research Centre: Harmonised Standards for AI Act
Meer weten over GPAI-compliance in je organisatie? Neem contact op voor een persoonlijk adviesgesprek.