Wat zijn de contractuele risico's van het implementeren van AI in bedrijven? Een uitleg van de 'Checklist' opgesteld door het Ministerie van Economie, Handel en Industrie om crises te voorkomen.

In recente jaren is de implementatie van AI (kunstmatige intelligentie) in de zakelijke omgeving steeds verder toegenomen. Echter, het gebruik en de ontwikkeling van AI brengen specifieke risico’s en juridische uitdagingen met zich mee die verschillen van traditionele systemen.
Met deze context in gedachten heeft het Japanse Ministerie van Economie, Handel en Industrie in februari van Reiwa 7 (2025) een ‘Checklist voor Contracten Gerelateerd aan het Gebruik en de Ontwikkeling van AI’ opgesteld en gepubliceerd. Deze checklist is ontworpen als een praktisch hulpmiddel om verschillende bedrijven die betrokken zijn bij AI-servicecontracten en -gebruik te helpen bij het efficiënt organiseren en controleren van contractvoorwaarden.
In dit artikel zullen we, gebaseerd op deze ‘Checklist voor Contracten Gerelateerd aan het Gebruik en de Ontwikkeling van AI’, uitleggen hoe contracten met betrekking tot AI gecategoriseerd kunnen worden en op welke punten men moet letten bij het sluiten van contracten, om AI efficiënt in het bedrijfsleven te kunnen benutten.
Checklist voor AI-gebruik en -ontwikkeling: Toepasselijke AI-gerelateerde diensten in Japan

De ‘Checklist voor AI-gebruik en -ontwikkeling’ richt zich op een breed scala aan AI-gerelateerde diensten, inclusief generatieve AI, en is niet beperkt tot specifieke sectoren of AI-technologieën.
De checklist is opgebouwd uit twee perspectieven, ‘input’ en ‘output’, om de praktische discussiepunten die samenhangen met het aanbieden en gebruiken van diensten systematisch te ordenen. Dit ontwerp maakt het gemakkelijker om de overwegingen die de gehele levenscyclus van AI-diensten beslaan te omvatten, terwijl het tegelijkertijd eenvoudiger wordt voor partijen om de items te identificeren die relevant zijn voor hun eigen onderneming.
Checklist voor Contracten met betrekking tot het Gebruik en de Ontwikkeling van AI: Inputs en Outputs Uitgelegd
De checklist is gebaseerd op de volgende twee fasen in AI-services:
[Inputs]Inputs verwijzen naar de informatie, data, specificaties en voorwaarden die worden aangeboden en gebruikt bij het bouwen, leren en bedienen van AI-services. Voorbeelden hiervan zijn trainingsdata, algoritmen, bedrijfsregels en systeemvoorwaarden. Als deze inputs onvoldoende of ongeschikt zijn, kunnen ze direct invloed hebben op de prestaties en betrouwbaarheid van de output van de AI, waardoor ze een belangrijk punt van overweging zijn.
[Outputs]Outputs zijn de resultaten die door de AI zijn verwerkt, geïnferereerd of gegenereerd, en de kwesties met betrekking tot hoe deze resultaten worden behandeld, gebruikt of gepubliceerd. Dit omvat bijvoorbeeld gegenereerde teksten of afbeeldingen, inferentieresultaten, de basis voor beslissingen, de reikwijdte van externe verstrekking en de verantwoordelijkheid voor de resultaten.
De outputresultaten van AI vereisen checks op nauwkeurigheid, transparantie en juridische risico’s. De ‘Checklist voor Contracten met betrekking tot het Gebruik en de Ontwikkeling van AI’ organiseert belangrijke contractuele discussiepunten vanuit beide perspectieven: de inputs (het verstrekken van voorinformatie) en de outputs (de resultaten van AI en de omgang daarmee).
Definities van de betrokken partijen
In contracten die betrekking hebben op AI, kunnen de rollen van betrokkenen zoals ‘de persoon die AI ontwikkelt’, ‘de persoon die AI levert’ en ‘de persoon die AI gebruikt’, variëren afhankelijk van het type AI-service.
Laten we bijvoorbeeld een geval voorstellen waarin een generieke AI-service wordt afgestemd en ontwikkeld voor een specifiek bedrijf (zie het volgende item “Type 2: Aangepast type”). In dit geval wordt een service verwacht waarbij een generieke AI-service van een ander bedrijf wordt geïntegreerd en aangepast (gepersonaliseerd) aan de specificaties van de aanvragende onderneming.
In deze situatie wordt onderneming B, die de aanpassingsdienst levert, in de relatie met onderneming A (de AI-gebruiker) die de aanpassing ontvangt (zie onderstaande afbeelding ①), beschouwd als ‘de leverancier van de AI-service (de verkoper)’.
Aan de andere kant, in de relatie met onderneming C (de AI-ontwikkelaar / AI-leverancier) die de oorspronkelijke generieke AI levert (zie onderstaande afbeelding ②), wordt onderneming B beschouwd als de gebruiker van de AI-service (de gebruiker).
Zo kan één onderneming, afhankelijk van de betrokken tegenpartij, zowel ‘leverancier’ als ‘gebruiker’ zijn, wat het belang onderstreept van het duidelijk vaststellen van de positie en de reikwijdte van de verantwoordelijkheden van elke partij bij het aangaan van een contract.

Contracttypes voor het gebruik en de ontwikkeling van AI onder Japans recht
In deze checklist categoriseren we contracten gerelateerd aan AI-diensten door drie representatieve contracttypes te onderscheiden. Het doel is om contractpartijen in staat te stellen de controlepunten die relevant zijn voor hun positie en doelstellingen gemakkelijker te begrijpen.
Elk contracttype heeft zijn eigen kenmerkende discussiepunten en risico’s. Het is van cruciaal belang om het juiste type te identificeren, afhankelijk van het doel van de AI-implementatie en de vorm van dienstverlening.
Hieronder introduceren we de drie contracttypes in meer detail.
Type 1: Algemene Servicegebruik
Dit type betreft contracten waarbij gebruikers bestaande en reeds gepubliceerde AI-services direct gebruiken, wat een gangbare praktijk is.
Een typisch voorbeeld hiervan is het gebruik van generatieve AI-services zoals ChatGPT of beeldgenererende AI (bijvoorbeeld DALL·E, Stable Diffusion) via het web.
Bij deze services is het over het algemeen zo dat de gebruiker akkoord gaat met de vooraf bepaalde gebruiksvoorwaarden en servicevoorwaarden die door de leverancier zijn vastgesteld. Het is voor de gebruiker bijna onmogelijk om de inhoud van de overeenkomst te onderhandelen of te wijzigen.
Op de checklist staat vooral de vraag centraal hoe gebruikers de AI-services, die onder vooraf vastgestelde voorwaarden worden aangeboden, kunnen begrijpen en de risico’s ervan kunnen inschatten en beheren.
Type 2: Maatwerk
Dit type contract houdt in dat de AI-serviceprovider zijn bestaande modellen en technologieën aanpast aan de behoeften van de gebruikersorganisatie.
Bijvoorbeeld, een gebruiker kan de AI-modellen van de provider trainen met eigen data en regels, of aanpassingen en wijzigingen aanbrengen in delen van het systeem. Stel je bijvoorbeeld de ontwikkeling voor van een marketing chatbot die binnen een bepaald bedrijf wordt ontwikkeld en geïmplementeerd. Een generieke generatieve AI kan worden afgestemd op het bedrijf door het lezen van de productdatabase van het bedrijf en het leren van vragen van klanten, waardoor het mogelijk wordt om bedrijfsspecifieke antwoorden te geven.
In dergelijke contracten wordt de oorspronkelijke technologie en knowhow van de provider benut, terwijl tegelijkertijd wordt voldaan aan de unieke eisen van de gebruiker. De checklist omvat voornamelijk de toewijzing van intellectueel eigendom met betrekking tot de aangepaste onderdelen, de mogelijkheid tot hergebruik en de verdeling van verantwoordelijkheden.
Bovendien is het belangrijk om de rollen van beide partijen en de definities van input en output te verduidelijken, aangezien de aard van het eindproduct en het type contract kunnen veranderen afhankelijk van de inhoud van de aanpassingen.
Type 3: Nieuwe Ontwikkeling
Dit type contract houdt in dat een gebruiker een volledig nieuw AI-systeem laat ontwikkelen door een AI-serviceprovider. Dit staat algemeen bekend als ‘full-scratch ontwikkeling’, waarbij een op maat gemaakt AI-model of systeem vanaf de grond wordt opgebouwd, afgestemd op de bedrijfsactiviteiten en behoeften van de gebruiker.
In dit geval worden de trainingsdata en specificaties vaak door de gebruiker aangeleverd, en het AI-model of de te ontwikkelen producten worden ontworpen op basis van de unieke vereisten van de gebruiker.
Daarom zijn de volgende punten in het contract bijzonder belangrijk:
- Het verduidelijken van de reikwijdte en inhoud van de te leveren producten
- Het stellen van doelen voor nauwkeurigheid en prestaties
- Het aanleveren en behandelen van trainingsdata
- De toewijzing van intellectuele eigendomsrechten en de eigendom van de producten
- De verdeling van verantwoordelijkheden voor onderhoud en updates
Omdat het afstemmen van ontwerp en specificaties tussen de provider en de gebruiker van cruciaal belang is voor dit type, vereist de checklist een gedetailleerde overweging.
Laten we nu opnieuw kijken naar concrete voorbeelden van input en output, met verwijzing naar de onderstaande afbeelding.

Checklist: Input
Input, as mentioned before, refers to the content that is fed into AI. Specific examples include training data, algorithms, and prompts (instructions or command sentences for AI).
In AI services, input is essential. Without it, vendors cannot proceed with the design, learning, and inference processing of AI. So, what should you pay attention to when it comes to input in such cases?
Omgaan met Input van Gebruikers naar Leveranciers onder Japans Recht
Het is daarom noodzakelijk dat in de contractuele bepalingen duidelijk wordt vastgelegd of en welke verplichtingen gebruikers hebben om informatie (input) zoals leerdata, regels en specificaties aan leveranciers te verstrekken. Dit omvat specifiek de volgende zaken:
- Welke input de gebruiker zal verstrekken
- Het tijdstip, de vorm en de kwaliteitsnormen van de verstrekking
- Of er voorwaarden zijn waaraan de door de gebruiker aan de leverancier te verstrekken input (wat betreft aard, hoeveelheid, granulariteit en andere aspecten) moet voldoen
- Of de bovengenoemde zaken acceptabel zijn in het licht van het doel waarvoor de gebruiker de dienst gebruikt
Omgaan met Inputinformatie van Vendors naar Derden Onder Japans Recht
In AI-diensten bouwen en leveren vendors AI met behulp van input (zoals data en specificaties) die zij van gebruikers ontvangen.
Het is echter belangrijk om in het contract te bevestigen of en onder welke voorwaarden het toegestaan is voor de vendor om deze input aan derden te verstrekken of opnieuw te gebruiken, aangezien er gevallen kunnen zijn waarin de input aan derden wordt verstrekt of hergebruikt.
Vooral omdat de input bedrijfskennis, vertrouwelijke informatie, persoonsgegevens en intellectueel eigendom van de gebruiker kan bevatten, kan het verstrekken ervan aan derden aanzienlijke risico’s met zich meebrengen.
Daarom is het noodzakelijk om in het contract te controleren of de volgende punten duidelijk zijn vastgelegd:
- Of de vendor de input die hij van de gebruiker heeft ontvangen aan derden mag verstrekken
- Als externe verstrekking is toegestaan, zijn er dan beperkingen op de ontvangers, de omvang en het doel van de verstrekking?
- De behandeling van intellectuele eigendomsrechten en vertrouwelijke informatie in de input van de gebruiker
Als er zorgen zijn over de bovengenoemde punten, kunnen maatregelen zoals ‘het niet verstrekken van onnodige informatie’ of ‘het overwegen om af te zien van het sluiten van een contract als het verstrekken van input aan derden niet acceptabel is’ worden overwogen.
Beheer van Leveranciersinput
In AI-diensten is het niet ongebruikelijk dat de input die gebruikers aan leveranciers verstrekken (zoals trainingsdata, bedrijfsregels, specificaties, enz.) persoonlijke informatie, vertrouwelijke informatie of intellectueel eigendom bevat.
Daarom is het van cruciaal belang om duidelijk te maken welke verantwoordelijkheden de leverancier draagt voor de behandeling en het beheersysteem van dergelijke input.
Maar hoe moeten we de beheer van input contractueel organiseren? Hieronder volgen enkele voorbeelden.
(De aanwezigheid en het niveau van beheerverplichtingen)
- Welke beheerverplichtingen heeft de leverancier voor de input die hij van de gebruiker ontvangt
- Als de leverancier beheerverplichtingen heeft, welk niveau van beheer en welke maatregelen worden dan verwacht
- Of de gebruiker audits en informatievoorziening kan eisen van het beheersysteem van de leverancier
- Of het beheersysteem geschikt is in het licht van het doel van de gebruiker om de dienst te gebruiken
(De bewaartermijn van input)
- Hoe lang kan de leverancier de input bewaren
- Welke maatregelen neemt de leverancier na het einde van de bewaartermijn
(Verwijderingsverplichting)
- Of de leverancier verplicht is om de input te verwijderen op verzoek van de gebruiker of bij het einde van het contract
- Of er een verplichting is om een bewijs van verwijdering (zoals een certificaat van verwijdering) uit te geven
- Of dergelijke verwijderingsmaatregelen redelijk zijn in het licht van de zakelijke doeleinden van de gebruiker
Wanneer de verstrekking van persoonsgegevens betrokken is, moet rekening gehouden worden met het feit dat als de leverancier de persoonsgegevens voor eigen doeleinden gebruikt of vergelijkt, dit niet als een opdracht kan worden beschouwd maar als een derde partij verstrekking, waarvoor mogelijk de toestemming van de betrokkene nodig is.
In gevallen waarbij de verstrekking van persoonsgegevens een opdracht inhoudt, moet worden beoordeeld of de toezichthoudende bevoegdheden die aan de leverancier kunnen worden opgelegd, voldoende zijn om de verwerking als een opdracht te behandelen (indien niet, moet worden overwogen om het als een derde partij verstrekking te behandelen). Bovendien, wanneer de overdracht van persoonsgegevens naar het buitenland plaatsvindt, moet er rekening mee worden gehouden dat ongeacht of er sprake is van een ‘verstrekking’ onder de Wet Bescherming Persoonsgegevens, het verstrekken van informatie over de gehouden persoonsgegevens noodzakelijk kan zijn.
Wanneer de verstrekking van persoonsgegevens betrokken is, kan een lek van persoonsgegevens door de leverancier leiden tot een meldingsplicht aan toezichthoudende instanties door de gebruiker, dus extra voorzichtigheid is geboden.
Wat betreft de verwijderingsverplichting, als de toepasselijke wetgeving een verwijderingsverplichting voor de leverancier vereist, is het ook mogelijk om verwijdering te eisen als een rechtshandeling buiten het contract.
Checklist: Output

Output, eenvoudig gezegd, verwijst naar de resultaten gegenereerd door AI. Dit zijn doorgaans teksten of afbeeldingen, maar kan ook programmacode, ontwerptekeningen of marketingstrategiedocumenten omvatten, en de vormen van output zijn divers. Het kan informatie bevatten die van hoge vertrouwelijkheid is, dus voorzichtigheid is geboden bij de behandeling ervan.
Wanneer gebruikers output extern delen
Door gebruik te maken van AI-diensten zoals generatieve AI, kunnen gebruikers verschillende outputs verkrijgen (zoals gegenereerde teksten, afbeeldingen, en redeneringsresultaten).
Dergelijke outputs worden niet alleen binnen het bedrijf gebruikt, maar worden ook vaak aan derden zoals klanten, zakelijke partners en algemene gebruikers verstrekt of openbaar gemaakt.
Echter, outputs gegenereerd door AI kunnen risico’s bevatten zoals onnauwkeurige informatie, inbreuk op rechten en ethische problemen. Het is noodzakelijk om een beheersysteem op te zetten en voldoende interne training te geven om onbedoelde verstrekking aan derden (inclusief informatielekken) te voorkomen.
Daarom, wanneer gebruikers output naar buiten de organisatie verstrekken, zijn contractuele afspraken en risicobeheer belangrijke overwegingen. Zorg ervoor dat u de volgende checkpoints controleert:
- Of gebruikers de output aan derden mogen verstrekken
- Als gebruikers aan derden mogen verstrekken, welke voorwaarden voor verstrekking aan derden zijn er (ontvangers, bereik van verstrekking en andere voorwaarden). In het geval van een gebruiksmodel, is het nodig om aan te geven dat het door AI-diensten is gegenereerd
- Of de bovenstaande inhoud acceptabel is in het licht van het doel van de gebruiker om de dienst te gebruiken
Output van de leverancier naar de gebruiker (b-5-1)
Outputs verkregen door het gebruik van AI-diensten (zoals gegenereerde teksten, afbeeldingen, ontwerptekeningen, rapporten) kunnen waardevolle resultaten zijn voor de gebruiker.
Echter, afspraken over wie de rechten bezit en of het vrij gebruikt mag worden, moeten duidelijk worden gemaakt in het contract om latere problemen te voorkomen. Specifiek moeten de volgende punten duidelijk worden gemaakt:
- Of de gebruiker bepaalde rechten, zoals intellectuele eigendomsrechten, op de output verwerft
- Als de gebruiker rechten verwerft, wat zijn dan de voorwaarden voor het verkrijgen van rechten (onderwerp van overdracht van rechten, al dan niet tegen betaling, aanwezigheid en inhoud van licenties en andere voorwaarden)
- Of de bovenstaande inhoud acceptabel is in het licht van het doel van de gebruiker om de dienst te gebruiken
Aandachtspunten bij het Gebruik van een Checklist
Deze checklist heeft geen juridische kracht als een contract, maar is bedoeld om vanuit het perspectief van zowel de gebruiker als de leverancier de contractuele discussiepunten met betrekking tot de levering en het gebruik van AI-gerelateerde diensten te ordenen. Daarom is het bij het daadwerkelijk sluiten van een contract noodzakelijk om, rekening houdend met de specifieke feiten van het contract (zoals de contractvorm, de inhoud van de dienst, de aard van de input en output, en de rechten en plichten van de partijen), de benodigde checklistitems te selecteren en de contractvoorwaarden voor elk item te concretiseren.
De beslissing over hoe te reageren op basis van de checklist hangt af van de specifieke omstandigheden waarin de individuele gebruiker zich bevindt. Daarom is het noodzakelijk om een alomvattende beoordeling te maken door rekening te houden met de volgende gerelateerde factoren:
- De inhoud van de AI-gerelateerde diensten die door de leverancier worden aangeboden
- De vorm van het contract (gebruiksvoorwaarden of een individueel contract)
- De risico’s verbonden aan het accepteren van de contractuele voorwaarden
- De haalbaarheid van het nakomen van de contractuele verplichtingen
- De beschikbaarheid van alternatieve diensten en methoden in het licht van het doel van het gebruik van AI
- De inspanning die nodig is voor contractonderhandelingen
- De mogelijkheid om risico’s te verminderen door middel van methoden buiten het contract (zoals daadwerkelijke uitvoering)
Conclusie: Raadpleeg een expert over AI-contracten
Tot zover hebben we gekeken naar de ‘Checklist voor contracten gerelateerd aan het gebruik en de ontwikkeling van AI’, gepubliceerd door het Japanse Ministerie van Economie, Handel en Industrie. We hebben de contractuele discussiepunten, contracttypes en aandachtspunten bij het gebruik van input en output in detail onderzocht.
Verwacht wordt dat AI-technologieën, waaronder generatieve AI, steeds meer geïntegreerd zullen worden in de kern van het bedrijfsleven. Echter, bij het gebruik ervan zijn er veel juridische en praktische punten om rekening mee te houden, zoals auteursrechten, persoonsgegevens, geheimhouding, de mogelijkheid tot hergebruik en verdeling van verantwoordelijkheden, die zorgvuldig geordend moeten worden.
Om AI op de juiste manier te benutten, is het niet voldoende om alleen de technologie te implementeren. Het is essentieel om via ‘contracten’ de rechten en plichten tussen partijen duidelijk te maken en risico’s te voorkomen. Vooral bij complexe AI-contracten is het veilig en praktisch om vooruit te gaan met advies van zowel de juridische en intellectuele eigendomsafdelingen binnen het bedrijf als externe experts.
Terwijl u het gebruik van AI bevordert, zorg ervoor dat u de inhoud van contracten controleert en de samenwerking met specialisten niet verwaarloost om juridische risico’s tot een minimum te beperken.
Maatregelen van Ons Kantoor
Monolith Advocatenkantoor is een juridische firma met een hoge mate van specialisatie in IT, met name internet, en recht. Ons kantoor biedt een breed scala aan juridische ondersteuning aan cliënten, variërend van beursgenoteerde bedrijven tot startende ondernemingen, inclusief het opstellen en beoordelen van contracten. Voor meer informatie verwijzen wij u naar het onderstaande artikel.
Expertisegebieden van Monolith Advocatenkantoor: IT & Venture Corporate Legal Services[ja]
Category: IT