PowerQuantNLStuur uw vragenlijst

Een inkoop-grade vragenlijst voor kopers van AI-systemen op grond van Verordening (EU) 2024/1689 en Richtlijn (EU) 2022/2555. Elke vraag is gekoppeld aan een concrete verplichting die doorwerkt naar de gebruiksverantwoordelijke of naar de kopende entiteit als essentiële/belangrijke NIS2-entiteit. Beoordeel elk antwoord met 0–3 aan de hand van onderstaande rubric; behandel alles met een score van 1 of lager als hefboom voor contractonderhandeling.

Scoreschaal (0–3)

ScoreBetekenisWat het vereist
3Sterk bewijsVraag schriftelijk beantwoord, bewijs bijgevoegd, geen verdere opvolging nodig.
2Aanvaardbaar met voorbehoudBeantwoord, maar met een voorbehoud dat de gebruiksverantwoordelijke aanvaardt en documenteert in het inkoopdossier.
1Gedeeltelijk / uitsluitend toezeggingAanbieder verbindt zich er toe dit later te verstrekken. Aanvaardbaar alleen met een streefdatum en een escalatieverantwoordelijke.
0Ontbreekt of geweigerdGeen antwoord of uitdrukkelijke weigering. Ofwel trekt dit de deal, ofwel wordt het een contractueel gedocumenteerd resterend risico dat door de uitvoerende sponsor wordt ondertekend.

A — Juridische status en classificatie

Stelt vast of de aanbieder het drempelwerk heeft verricht waarop de verplichtingen van artikel 26 van de koper steunen.

A1 — Is het systeem geclassificeerd als hoog-risico op grond van Bijlage III? Zo ja, welk punt en subpunt? Waarom het van belang is: Bepaalt de volledige set van verplichtingen voor de gebruiksverantwoordelijke op grond van artikel 26 van Verordening (EU) 2024/1689.

A2 — Heeft de aanbieder het systeem als aanbieder op de EU-markt gebracht en is er een EU-conformiteitsverklaring? Waarom het van belang is: De EU-DoC van artikel 47 is het document dat de koper nodig heeft om artikel 26(1) te bewijzen.

A3 — Is het systeem CE-gemarkeerd waar van toepassing? Waarom het van belang is: CE-markering op grond van artikel 48 is het zichtbare regelgevingssignaal dat de conformiteitsbeoordeling is voltooid.

A4 — Als de aanbieder buiten de EU is gevestigd, is er dan een gemachtigde vertegenwoordiger in de Unie op grond van artikel 22? Waarom het van belang is: Zonder EU-vertegenwoordiger is handhaving onzeker en draagt de gebruiksverantwoordelijke meer resterend risico.

A5 — Wat is de beoogd-doelverklaring van de aanbieder, woordelijk? Waarom het van belang is: Gebruik buiten het beoogde doel kan de gebruiksverantwoordelijke herclassificeren als aanbieder op grond van artikel 25 en Bijlage IV-verplichtingen activeren.

B — Technische documentatie (Bijlage IV)

Bijlage IV somt de negen secties op van de technische documentatie die een aanbieder van een hoog-risico-AI-systeem moet bezitten. De gebruiksverantwoordelijke heeft er voldoende van nodig om het systeem correct te bedienen en te reageren op vragen van autoriteiten.

B1 — Deelt de aanbieder de technische documentatie van Bijlage IV, of een samenvatting die voldoende is voor de artikel 26-verplichtingen van de gebruiksverantwoordelijke? Waarom het van belang is: Sommige aanbieders onthouden het volledige dossier als bedrijfsgeheim; een samenvatting op gebruiksverantwoordelijken-niveau is aanvaardbaar op grond van artikel 11(2).

B2 — Bevat de documentatie de ontwerpkeuzes, kenmerken van de trainings-/validatie-/testdata en de meetgegevens die vereist zijn door Bijlage IV? Waarom het van belang is: Vereist door Bijlage IV punten 2 en 3.

B3 — Aan welke normen is het systeem getoetst (geharmoniseerde normen, gemeenschappelijke specificaties)? Waarom het van belang is: Bijlage IV punt 7 — gedeclareerde normen bepalen het vermoeden bij conformiteitsbeoordeling.

B4 — Wat is het plan voor postmarkttoezicht en hoe worden gebruiksverantwoordelijken op de hoogte gesteld van wezenlijke wijzigingen? Waarom het van belang is: Bijlage IV punt 9 plus artikel 72 — de gebruiksverantwoordelijke heeft het wijzigingsmeldingskanaal schriftelijk nodig.

B5 — Welke uitvoerlogboekregistratie wordt automatisch gegenereerd, en hoe kan de gebruiksverantwoordelijke logboeken ophalen voor de minimumtermijn van 6 maanden op grond van artikel 26(6)? Waarom het van belang is: Artikel 26(6) — toegang tot logboeken is een terugkerende inkoopmislukking.

C — Door artikel 26 vereiste artefacten voor gebruiksverantwoordelijken

Wat de aanbieder actief moet leveren om de naleving van artikel 26 door de koper mogelijk te maken.

C1 — Zijn de gebruiksinstructies van artikel 13 volledig en in een taal die de gebruiksverantwoordelijke begrijpt? Waarom het van belang is: Artikel 13 is het juridische anker voor de artikel 26(1)-plicht van de gebruiksverantwoordelijke.

C2 — Ondersteunt het systeem menselijk toezicht in de vorm die de aanbieder beschrijft op grond van artikel 14? Waarom het van belang is: Artikel 14-ontwerpkeuzes bepalen welke toezichtsrol de gebruiksverantwoordelijke geloofwaardig kan invullen.

C3 — Zal de aanbieder samenwerken bij de melding van ernstige incidenten op grond van artikel 73 — binnen welke SLA? Waarom het van belang is: De gebruiksverantwoordelijke moet ernstige incidenten onverwijld melden; samenwerking van de aanbieder is operationele werkelijkheid.

C4 — Verstrekt de aanbieder de artikel 13-informatie die de gebruiksverantwoordelijke nodig heeft voor de AVG-DPIA op grond van artikel 26(9)? Waarom het van belang is: Bespaart de gebruiksverantwoordelijke het opnieuw afleiden van informatie die de aanbieder al bezit.

C5 — Welk bewijs verstrekt de aanbieder ter ondersteuning van de artikel 26(4)-invoergegevensplicht van de gebruiksverantwoordelijke voor velden die de gebruiksverantwoordelijke beheert? Waarom het van belang is: De relevantie van invoergegevens is een gedeeld werkproces, ook al rust de juridische plicht bij de gebruiksverantwoordelijke.

D — Gegevensbescherming (AVG)

Naleving van de AI Act is noodzakelijk maar niet voldoende. De AVG loopt parallel en het inkoopcontract moet beide regimes vastleggen.

D1 — Is er een AVG-artikel 28-verwerkersovereenkomst (DPA) gesloten? Waarom het van belang is: Fundamenteel — zonder een DPA kan de gebruiksverantwoordelijke de aanbieder niet rechtmatig als verwerker inzetten.

D2 — Zijn subverwerkers vermeld, met locaties en doorgiftemechanisme? Waarom het van belang is: AVG Hoofdstuk V — doorgiften buiten de EER vereisen een geldig mechanisme (adequaatheidsbesluit, SCCs + TIA).

D3 — Wat is de rechtsgrond waarop de aanbieder zich beroept voor eventuele verwerking als verwerkingsverantwoordelijke (bijv. modelverbetering)? Waarom het van belang is: Indien de aanbieder voor eigen doeleinden verwerkt, verandert het risico van de gebruiksverantwoordelijke als verwerkingsverantwoordelijke wezenlijk.

D4 — Wat zijn de verplichtingen inzake bewaring en verwijdering van gegevens per gegevenscategorie? Waarom het van belang is: Sluit aan op de opslagbeperkingsplicht van de gebruiksverantwoordelijke op grond van artikel 5(1)(e) AVG.

D5 — Hoe behandelt de aanbieder verzoeken inzake rechten van betrokkenen die via de gebruiksverantwoordelijke worden doorgegeven? Waarom het van belang is: Vereist om de reactiecapaciteit van de gebruiksverantwoordelijke op grond van artikel 12 AVG geloofwaardig te maken.

E — NIS2-toeleveringsketenbeveiliging (artikel 21)

Als de koper een essentiële of belangrijke NIS2-entiteit is, werken de toeleveringsketen-plichten van artikel 21(2)(d) door naar elke AI-aanbieder.

E1 — Valt de aanbieder zelf onder NIS2 (essentiële of belangrijke entiteit) of een gelijkwaardig sectoraal regime zoals DORA? Waarom het van belang is: Bepaalt het niveau van cyberzekerheid dat de aanbieder reeds moet bezitten.

E2 — Welke informatiebeveiligingscertificeringen bezit de aanbieder (ISO/IEC 27001, SOC 2 Type II, ENS, overige)? Waarom het van belang is: Operationeel bewijs ter ondersteuning van de leveranciersbeoordeling van de koper op grond van artikel 21(2)(d).

E3 — Wat is de toezegging van de aanbieder inzake incidentmelding aan klanten, en binnen welke termijn? Waarom het van belang is: De 24-uursklok van de koper op grond van artikel 23 NIS2 is afhankelijk van tijdige melding door de aanbieder.

E4 — Past de aanbieder meervoudige authenticatie, versleuteling tijdens verzending en in opslag, en een veilige-ontwikkelingslevenscyclus toe? Waarom het van belang is: Artikel 21(2)(j)-authenticatieverplichtingen en artikel 21(2)(e)-verplichtingen voor veilige aanschaf.

E5 — Wanneer heeft de laatste onafhankelijke penetratietest of red-team-oefening plaatsgevonden, en is de samenvatting voor de directie deelbaar? Waarom het van belang is: Aantoonbaar bewijs van cyberhygiëne voor artikel 21(2)(g).

F — Contract en exit

Inkoopclausules die de rest van het schema handhaafbaar maken.

F1 — Is er een audit-/inspectiebevoegdheid voor de koper of de toezichthouder van de koper? Waarom het van belang is: Zonder dit zijn het toezicht op leveranciers op grond van artikel 21(2)(d) en de samenwerking met autoriteiten op grond van artikel 26(12) theoretisch.

F2 — Wat zijn de voorwaarden inzake prijswijziging, scopewijziging en beëindiging naar believen? Waarom het van belang is: Wezenlijk voor de totale eigendomskosten en het exitrisico.

F3 — Wat zijn de bepalingen inzake gegevensexport, portabiliteit van modeloutput en bijstand bij beëindiging? Waarom het van belang is: Voorkomt lock-in en ondersteunt de onboarding van een vervangende aanbieder.

F4 — Wat is het aansprakelijkheidsmaximum, en zijn inbreuken op intellectuele eigendom en vertrouwelijkheidsschendingen uitgesloten? Waarom het van belang is: AI-aanbieders begrenzen aansprakelijkheid steeds vaker tot 12 maanden aan vergoedingen; IE-uitsluitingen zijn relevant wanneer de herkomst van trainingsdata onduidelijk is.

F5 — Is er een clausule inzake regelgevingswijzigingen die samenwerking verplicht naarmate de AI Act, NIS2 en Digital Omnibus evolueren? Waarom het van belang is: De regelgevingspositie in 2026–2027 blijft verschuiven; de clausule voorkomt kostbare heronderhandeling.

Gebruik van het schema

  1. Stel de 30 vragen in uw RFP/RFI in plaats van ze na de leveranciersselectie te onderhandelen. Eerder is goedkoper.
  2. Beoordeel elk antwoord met 0–3. Alles met een score van 1 of lager is een onderhandelingshefboom of een gedocumenteerd resterend risico — geen stilzwijgende aanvaarding.
  3. Voeg het ingevulde schema toe aan het inkoopbeslissingsdossier. Auditors en bevoegde autoriteiten onder beide regimes zullen een contemporain scoredossier aanvaarden als bewijs van due diligence.
  4. Herscoor jaarlijks en na elke upgrade van de aanbiedersversie die het beoogde doel, de samenstelling van de trainingsdata of het menselijk-toezichtsontwerp raakt.
  5. Breng de hoogst scorende lacunes van de aanbieder in kaart ten opzichte van uw eigen artikel 26-bewijspakket — soms kan de gebruiksverantwoordelijke zwaktes van de aanbieder compenseren met extra organisatorische beheersmaatregelen; soms niet.

Prijscontext

Sancties voor niet-naleving zijn niet gering. Mislukking bij de technische documentatie van Bijlage IV kan leiden tot maximaal EUR 15 miljoen of 3% van de wereldwijde jaaromzet (naargelang welk bedrag hoger is) op grond van artikel 99(4) van de AI Act. Overtredingen van verboden praktijken op grond van artikel 5 gaan tot EUR 35 miljoen of 7%. NIS2-artikel 34 stelt maximaal EUR 10 miljoen of 2% vast voor essentiële entiteiten, EUR 7 miljoen of 1,4% voor belangrijke. Vendor due diligence is een van de goedkopere manieren om die blootstelling te verminderen.

Bronnen

  • Verordening (EU) 2024/1689 (AI Act), artikelen 11, 13, 14, 22, 25, 26, 47, 48, 72, 73, 99 en Bijlagen III, IV — https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Richtlijn (EU) 2022/2555 (NIS2), artikelen 21, 23, 34 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Verordening (EU) 2016/679 (AVG), Hoofdstukken IV–V (verwerkingsverantwoordelijken, verwerkers, doorgiften).
  • AI Act Service Desk van de Europese Commissie; ENISA NIS2-toeleveringsketen-richtsnoeren.

Noot: PowerQuant levert sjablonen en documentatie voor gebruik in uw interne inkoopproces — geen juridisch advies. Aansprakelijkheidsmaxima, IE-uitsluitingen en clausules inzake regelgevingswijzigingen zijn jurisdictiespecifiek; raadpleeg uw juridisch adviseur voor contractopstelling.

PowerQuant Module 2

Inkoop-bewijspakket: ingevulde leveranciersvragenlijst, beoordeeld aan de hand van dit 30-vraagschema, plus het artikel 26-gebruiksverantwoordelijken-bewijs dat lacunes van de aanbieder compenseert. 14–21 werkdagen.