In korte tijd is de Code of Practice uitgegroeid tot het praktische startpunt voor aanbieders en afnemers van general‑purpose AI. Toch blijft voor veel organisaties dezelfde vraag terugkomen: hoe maak je van een vrijwillige code een serieus vendor‑assuranceproces dat in de praktijk standhoudt? In deze blog schets ik een nuchtere aanpak die past bij de huidige stand van zaken en die je soepel laat doorpakken zodra geharmoniseerde EN‑normen verschijnen.
Per 2 augustus 2025 gelden GPAI‑verplichtingen voor nieuwe modellen. Voor bestaande modellen loopt een overgang tot 2 augustus 2027. De Code, de Guidelines en het Public‑Summary‑template vormen samen het werkpakket waar je vandaag mee begint.
Waarom vendor assurance nu telt
Eerder liet ik zien hoe je de GPAI‑code in inkoopafspraken verankert (procurement onder de EU AI Act) en hoe je een Public Summary publiceert die klopt en bruikbaar is (Public Summary van trainingscontent). Die twee onderwerpen komen samen in vendor assurance: je vraagt om inzicht, maar je wilt vooral aantoonbaarheid. Dat betekent duidelijke stukken bij elke release, een voorspelbaar update‑ritme en de bereidheid om in te zoomen wanneer iets niet overtuigt. Wie hier nu mee begint, voorkomt dat de discussie over transparantie abstract blijft en dat beslissingen over integraties op gevoel worden genomen.
Van code naar bewijs
De kern is eenvoudig: wat lever je aan en hoe blijft het up‑to‑date. Het ingevulde Model Documentation Form is de ruggengraat. Voeg daar de Public Summary bij met datum en link, en licht toe hoe je omgaat met text‑en‑datamining‑opt‑outs, klachten en verwijderverzoeken. Aan de veiligheidskant wil je zien hoe risico’s worden beheerst, welke evaluaties en benchmarks zijn gedraaid en welke incidenten aanleiding waren om maatregelen aan te scherpen. Dit is geen papieroefening; het zijn dezelfde artefacten die teams nodig hebben om het model verantwoord te gebruiken.
Hoe beoordeel je kwaliteit
Een vragenlijst zonder bewijs voegt weinig toe. Vraag daarom per release een compact pakket met documenten en links. Kijk vervolgens niet alleen naar volledigheid, maar ook naar het ritme en de discipline: worden wijzigingen consequent vastgelegd, is helder welke beperkingen gelden en sluit de documentatie aan op je eigen risicobeoordeling. Blijft cruciale informatie ontbreken of worden opt‑outs structureel genegeerd, dan heb je een duidelijk moment om te pauzeren of aanvullende voorwaarden te stellen.
Contractafspraken die werken
Leg de verwachtingen vast op drie momenten: bij aanvang, bij elke release en bij incidenten. Bij aanvang spreek je af welke documenten je ontvangt en hoe snel een wijziging wordt doorgegeven. Bij elke release hoort een actualisatie van de documentatie, inclusief changelog. En bij incidenten is een korte meldlijn nodig, gevolgd door een nuchtere terugkoppeling van oorzaak en maatregel. Als er subleveranciers in de keten zitten, laat je die afspraken expliciet doorrollen. Verandert het basismodel, dan volgt herbeoordeling.
Op weg naar EN‑normen
Met EN‑normen bedoel ik officiële Europese normen (European Norms) die door normalisatieorganisaties als CEN en CENELEC worden vastgesteld. Als zulke normen door de Europese Commissie als “geharmoniseerd” worden aangewezen, leveren ze een vermoeden van conformiteit op: volg je de norm, dan voldoe je in principe aan de bijbehorende wettelijke eisen. Voor AI gaat het straks om concrete, toetsbare eisen rond transparantie, veiligheid en beveiliging, risicobeheer, datamanagement en monitoring. Vaak sluiten EN‑normen aan op bestaande ISO/IEC‑standaarden die Europees zijn overgenomen.
Vandaag werk je pragmatisch met de Code of Practice. Morgen gebruik je dezelfde stukken om aan te sluiten op die EN‑normen, zonder je proces opnieuw te ontwerpen. Dat vraagt geen grote herbouw, maar wel een beetje vooruitdenken: kies formats die herbruikbaar zijn, plan jaarlijks een vast assurance‑moment en hou een eenvoudige gapanalyse bij. Zodra normteksten definitief zijn, prik je je proces daarop in zonder alles te hoeven herschrijven.
Publieke sector, FRIA en DPIA
Voor publieke organen en diensten van publiek belang speelt vendor assurance direct in op FRIA en vaak ook op DPIA. Het is zonde om daar losstaande trajecten van te maken. Hergebruik de aangeleverde stukken, verwijs ernaar in je beoordeling en zorg dat de update‑momenten synchroon lopen. Wie meer achtergrond wil, vindt een overzicht in DPIA vs FRIA.
Tot slot
Begin klein, maar begin wel. Vraag om een ingevuld modeldocument, een Public Summary met datum en een korte changelog. Maak daarna afspraken over updates en incidentmeldingen en leg die vast in je contract. Met die basis staat er binnen enkele weken een volwassen vendor‑assuranceproces dat met je meegroeit richting EN‑normen.
Meer weten of behoefte aan een second opinion op je aanpak? Neem contact op via het contactformulier.