Een inkoop-grade vragenlijst voor kopers van AI-systemen op grond van Verordening (EU) 2024/1689 en Richtlijn (EU) 2022/2555. Elke vraag is gekoppeld aan een concrete verplichting die doorwerkt naar de gebruiksverantwoordelijke of naar de kopende entiteit als essentiële/belangrijke NIS2-entiteit. Beoordeel elk antwoord met 0–3 aan de hand van onderstaande rubric; behandel alles met een score van 1 of lager als hefboom voor contractonderhandeling.
Scoreschaal (0–3)
| Score | Betekenis | Wat het vereist |
|---|---|---|
| 3 | Sterk bewijs | Vraag schriftelijk beantwoord, bewijs bijgevoegd, geen verdere opvolging nodig. |
| 2 | Aanvaardbaar met voorbehoud | Beantwoord, maar met een voorbehoud dat de gebruiksverantwoordelijke aanvaardt en documenteert in het inkoopdossier. |
| 1 | Gedeeltelijk / uitsluitend toezegging | Aanbieder verbindt zich er toe dit later te verstrekken. Aanvaardbaar alleen met een streefdatum en een escalatieverantwoordelijke. |
| 0 | Ontbreekt of geweigerd | Geen antwoord of uitdrukkelijke weigering. Ofwel trekt dit de deal, ofwel wordt het een contractueel gedocumenteerd resterend risico dat door de uitvoerende sponsor wordt ondertekend. |
A — Juridische status en classificatie
Stelt vast of de aanbieder het drempelwerk heeft verricht waarop de verplichtingen van artikel 26 van de koper steunen.
A1 — Is het systeem geclassificeerd als hoog-risico op grond van Bijlage III? Zo ja, welk punt en subpunt? Waarom het van belang is: Bepaalt de volledige set van verplichtingen voor de gebruiksverantwoordelijke op grond van artikel 26 van Verordening (EU) 2024/1689.
A2 — Heeft de aanbieder het systeem als aanbieder op de EU-markt gebracht en is er een EU-conformiteitsverklaring? Waarom het van belang is: De EU-DoC van artikel 47 is het document dat de koper nodig heeft om artikel 26(1) te bewijzen.
A3 — Is het systeem CE-gemarkeerd waar van toepassing? Waarom het van belang is: CE-markering op grond van artikel 48 is het zichtbare regelgevingssignaal dat de conformiteitsbeoordeling is voltooid.
A4 — Als de aanbieder buiten de EU is gevestigd, is er dan een gemachtigde vertegenwoordiger in de Unie op grond van artikel 22? Waarom het van belang is: Zonder EU-vertegenwoordiger is handhaving onzeker en draagt de gebruiksverantwoordelijke meer resterend risico.
A5 — Wat is de beoogd-doelverklaring van de aanbieder, woordelijk? Waarom het van belang is: Gebruik buiten het beoogde doel kan de gebruiksverantwoordelijke herclassificeren als aanbieder op grond van artikel 25 en Bijlage IV-verplichtingen activeren.
B — Technische documentatie (Bijlage IV)
Bijlage IV somt de negen secties op van de technische documentatie die een aanbieder van een hoog-risico-AI-systeem moet bezitten. De gebruiksverantwoordelijke heeft er voldoende van nodig om het systeem correct te bedienen en te reageren op vragen van autoriteiten.
B1 — Deelt de aanbieder de technische documentatie van Bijlage IV, of een samenvatting die voldoende is voor de artikel 26-verplichtingen van de gebruiksverantwoordelijke? Waarom het van belang is: Sommige aanbieders onthouden het volledige dossier als bedrijfsgeheim; een samenvatting op gebruiksverantwoordelijken-niveau is aanvaardbaar op grond van artikel 11(2).
B2 — Bevat de documentatie de ontwerpkeuzes, kenmerken van de trainings-/validatie-/testdata en de meetgegevens die vereist zijn door Bijlage IV? Waarom het van belang is: Vereist door Bijlage IV punten 2 en 3.
B3 — Aan welke normen is het systeem getoetst (geharmoniseerde normen, gemeenschappelijke specificaties)? Waarom het van belang is: Bijlage IV punt 7 — gedeclareerde normen bepalen het vermoeden bij conformiteitsbeoordeling.
B4 — Wat is het plan voor postmarkttoezicht en hoe worden gebruiksverantwoordelijken op de hoogte gesteld van wezenlijke wijzigingen? Waarom het van belang is: Bijlage IV punt 9 plus artikel 72 — de gebruiksverantwoordelijke heeft het wijzigingsmeldingskanaal schriftelijk nodig.
B5 — Welke uitvoerlogboekregistratie wordt automatisch gegenereerd, en hoe kan de gebruiksverantwoordelijke logboeken ophalen voor de minimumtermijn van 6 maanden op grond van artikel 26(6)? Waarom het van belang is: Artikel 26(6) — toegang tot logboeken is een terugkerende inkoopmislukking.
C — Door artikel 26 vereiste artefacten voor gebruiksverantwoordelijken
Wat de aanbieder actief moet leveren om de naleving van artikel 26 door de koper mogelijk te maken.
C1 — Zijn de gebruiksinstructies van artikel 13 volledig en in een taal die de gebruiksverantwoordelijke begrijpt? Waarom het van belang is: Artikel 13 is het juridische anker voor de artikel 26(1)-plicht van de gebruiksverantwoordelijke.
C2 — Ondersteunt het systeem menselijk toezicht in de vorm die de aanbieder beschrijft op grond van artikel 14? Waarom het van belang is: Artikel 14-ontwerpkeuzes bepalen welke toezichtsrol de gebruiksverantwoordelijke geloofwaardig kan invullen.
C3 — Zal de aanbieder samenwerken bij de melding van ernstige incidenten op grond van artikel 73 — binnen welke SLA? Waarom het van belang is: De gebruiksverantwoordelijke moet ernstige incidenten onverwijld melden; samenwerking van de aanbieder is operationele werkelijkheid.
C4 — Verstrekt de aanbieder de artikel 13-informatie die de gebruiksverantwoordelijke nodig heeft voor de AVG-DPIA op grond van artikel 26(9)? Waarom het van belang is: Bespaart de gebruiksverantwoordelijke het opnieuw afleiden van informatie die de aanbieder al bezit.
C5 — Welk bewijs verstrekt de aanbieder ter ondersteuning van de artikel 26(4)-invoergegevensplicht van de gebruiksverantwoordelijke voor velden die de gebruiksverantwoordelijke beheert? Waarom het van belang is: De relevantie van invoergegevens is een gedeeld werkproces, ook al rust de juridische plicht bij de gebruiksverantwoordelijke.
D — Gegevensbescherming (AVG)
Naleving van de AI Act is noodzakelijk maar niet voldoende. De AVG loopt parallel en het inkoopcontract moet beide regimes vastleggen.
D1 — Is er een AVG-artikel 28-verwerkersovereenkomst (DPA) gesloten? Waarom het van belang is: Fundamenteel — zonder een DPA kan de gebruiksverantwoordelijke de aanbieder niet rechtmatig als verwerker inzetten.
D2 — Zijn subverwerkers vermeld, met locaties en doorgiftemechanisme? Waarom het van belang is: AVG Hoofdstuk V — doorgiften buiten de EER vereisen een geldig mechanisme (adequaatheidsbesluit, SCCs + TIA).
D3 — Wat is de rechtsgrond waarop de aanbieder zich beroept voor eventuele verwerking als verwerkingsverantwoordelijke (bijv. modelverbetering)? Waarom het van belang is: Indien de aanbieder voor eigen doeleinden verwerkt, verandert het risico van de gebruiksverantwoordelijke als verwerkingsverantwoordelijke wezenlijk.
D4 — Wat zijn de verplichtingen inzake bewaring en verwijdering van gegevens per gegevenscategorie? Waarom het van belang is: Sluit aan op de opslagbeperkingsplicht van de gebruiksverantwoordelijke op grond van artikel 5(1)(e) AVG.
D5 — Hoe behandelt de aanbieder verzoeken inzake rechten van betrokkenen die via de gebruiksverantwoordelijke worden doorgegeven? Waarom het van belang is: Vereist om de reactiecapaciteit van de gebruiksverantwoordelijke op grond van artikel 12 AVG geloofwaardig te maken.
E — NIS2-toeleveringsketenbeveiliging (artikel 21)
Als de koper een essentiële of belangrijke NIS2-entiteit is, werken de toeleveringsketen-plichten van artikel 21(2)(d) door naar elke AI-aanbieder.
E1 — Valt de aanbieder zelf onder NIS2 (essentiële of belangrijke entiteit) of een gelijkwaardig sectoraal regime zoals DORA? Waarom het van belang is: Bepaalt het niveau van cyberzekerheid dat de aanbieder reeds moet bezitten.
E2 — Welke informatiebeveiligingscertificeringen bezit de aanbieder (ISO/IEC 27001, SOC 2 Type II, ENS, overige)? Waarom het van belang is: Operationeel bewijs ter ondersteuning van de leveranciersbeoordeling van de koper op grond van artikel 21(2)(d).
E3 — Wat is de toezegging van de aanbieder inzake incidentmelding aan klanten, en binnen welke termijn? Waarom het van belang is: De 24-uursklok van de koper op grond van artikel 23 NIS2 is afhankelijk van tijdige melding door de aanbieder.
E4 — Past de aanbieder meervoudige authenticatie, versleuteling tijdens verzending en in opslag, en een veilige-ontwikkelingslevenscyclus toe? Waarom het van belang is: Artikel 21(2)(j)-authenticatieverplichtingen en artikel 21(2)(e)-verplichtingen voor veilige aanschaf.
E5 — Wanneer heeft de laatste onafhankelijke penetratietest of red-team-oefening plaatsgevonden, en is de samenvatting voor de directie deelbaar? Waarom het van belang is: Aantoonbaar bewijs van cyberhygiëne voor artikel 21(2)(g).
F — Contract en exit
Inkoopclausules die de rest van het schema handhaafbaar maken.
F1 — Is er een audit-/inspectiebevoegdheid voor de koper of de toezichthouder van de koper? Waarom het van belang is: Zonder dit zijn het toezicht op leveranciers op grond van artikel 21(2)(d) en de samenwerking met autoriteiten op grond van artikel 26(12) theoretisch.
F2 — Wat zijn de voorwaarden inzake prijswijziging, scopewijziging en beëindiging naar believen? Waarom het van belang is: Wezenlijk voor de totale eigendomskosten en het exitrisico.
F3 — Wat zijn de bepalingen inzake gegevensexport, portabiliteit van modeloutput en bijstand bij beëindiging? Waarom het van belang is: Voorkomt lock-in en ondersteunt de onboarding van een vervangende aanbieder.
F4 — Wat is het aansprakelijkheidsmaximum, en zijn inbreuken op intellectuele eigendom en vertrouwelijkheidsschendingen uitgesloten? Waarom het van belang is: AI-aanbieders begrenzen aansprakelijkheid steeds vaker tot 12 maanden aan vergoedingen; IE-uitsluitingen zijn relevant wanneer de herkomst van trainingsdata onduidelijk is.
F5 — Is er een clausule inzake regelgevingswijzigingen die samenwerking verplicht naarmate de AI Act, NIS2 en Digital Omnibus evolueren? Waarom het van belang is: De regelgevingspositie in 2026–2027 blijft verschuiven; de clausule voorkomt kostbare heronderhandeling.
Gebruik van het schema
- Stel de 30 vragen in uw RFP/RFI in plaats van ze na de leveranciersselectie te onderhandelen. Eerder is goedkoper.
- Beoordeel elk antwoord met 0–3. Alles met een score van 1 of lager is een onderhandelingshefboom of een gedocumenteerd resterend risico — geen stilzwijgende aanvaarding.
- Voeg het ingevulde schema toe aan het inkoopbeslissingsdossier. Auditors en bevoegde autoriteiten onder beide regimes zullen een contemporain scoredossier aanvaarden als bewijs van due diligence.
- Herscoor jaarlijks en na elke upgrade van de aanbiedersversie die het beoogde doel, de samenstelling van de trainingsdata of het menselijk-toezichtsontwerp raakt.
- Breng de hoogst scorende lacunes van de aanbieder in kaart ten opzichte van uw eigen artikel 26-bewijspakket — soms kan de gebruiksverantwoordelijke zwaktes van de aanbieder compenseren met extra organisatorische beheersmaatregelen; soms niet.
Prijscontext
Sancties voor niet-naleving zijn niet gering. Mislukking bij de technische documentatie van Bijlage IV kan leiden tot maximaal EUR 15 miljoen of 3% van de wereldwijde jaaromzet (naargelang welk bedrag hoger is) op grond van artikel 99(4) van de AI Act. Overtredingen van verboden praktijken op grond van artikel 5 gaan tot EUR 35 miljoen of 7%. NIS2-artikel 34 stelt maximaal EUR 10 miljoen of 2% vast voor essentiële entiteiten, EUR 7 miljoen of 1,4% voor belangrijke. Vendor due diligence is een van de goedkopere manieren om die blootstelling te verminderen.
Bronnen
- Verordening (EU) 2024/1689 (AI Act), artikelen 11, 13, 14, 22, 25, 26, 47, 48, 72, 73, 99 en Bijlagen III, IV — https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Richtlijn (EU) 2022/2555 (NIS2), artikelen 21, 23, 34 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Verordening (EU) 2016/679 (AVG), Hoofdstukken IV–V (verwerkingsverantwoordelijken, verwerkers, doorgiften).
- AI Act Service Desk van de Europese Commissie; ENISA NIS2-toeleveringsketen-richtsnoeren.
Noot: PowerQuant levert sjablonen en documentatie voor gebruik in uw interne inkoopproces — geen juridisch advies. Aansprakelijkheidsmaxima, IE-uitsluitingen en clausules inzake regelgevingswijzigingen zijn jurisdictiespecifiek; raadpleeg uw juridisch adviseur voor contractopstelling.
PowerQuant Module 2
Inkoop-bewijspakket: ingevulde leveranciersvragenlijst, beoordeeld aan de hand van dit 30-vraagschema, plus het artikel 26-gebruiksverantwoordelijken-bewijs dat lacunes van de aanbieder compenseert. 14–21 werkdagen.