De AI-markt groeit harder dan de meeste inkoopafdelingen kunnen bijbenen. Nieuwe partijen schieten op, bestaande softwareleveranciers plakken er een AI-laag bovenop, en de verhalen over wat allemaal kan worden steeds groter. Voor jou als beslisser betekent dat: hoe scheid je een serieuze partner van een tijdelijke verschijning?
Dit artikel geeft een praktisch beoordelingskader. Geen checklist met dertig vinkjes, maar de vragen die er echt toe doen — over techniek, juridische zaken, organisatie en gedrag. Aan het eind weet je waar je op moet letten voordat je tekent.
Waarom de keuze van een AI-leverancier zwaarder weegt dan gewone software
Bij een AI-implementatie geef je vaak meer weg dan bij traditionele software. Documenten, klantvragen, e-mails, soms hele kennisbanken — die data wordt verwerkt, opgeslagen en in sommige gevallen gebruikt om modellen te verbeteren.
Daar komt bij dat AI-output niet altijd voorspelbaar is. Een verkeerd antwoord van een chatbot of een hallucinatie in een rapport kan reputatieschade of zelfs juridische gevolgen hebben. De leverancier die je kiest, bepaalt voor een groot deel hoe goed die risico’s beheerst worden.
De inzet is dus hoger. En dat vraagt om een striktere selectie dan bij een gemiddelde SaaS-tool.
Vraag 1: Wie zit er achter het bedrijf?
Begin met het saaie maar essentiële huiswerk. Hoe lang bestaat de leverancier? Wie zijn de oprichters en wat is hun achtergrond? Staat het bedrijf ingeschreven bij de KvK, en waar is het juridisch gevestigd?
Een leverancier met een vestiging buiten de EU is niet per definitie onbetrouwbaar, maar het maakt AVG-compliance en aansprakelijkheid complexer. Kijk ook naar de concernstructuur: een Nederlandse BV met een moedermaatschappij buiten de EU kan andere doorgifteregels met zich meebrengen dan de marketingpagina suggereert.
Let ook op de financiële situatie: een partij die op het punt staat om te vouwen, kan je vier maanden later met een dood platform achterlaten.
Concrete signalen die de moeite waard zijn:
- Aantoonbare referenties bij vergelijkbare organisaties
- Een team dat verder gaat dan twee oprichters en een freelancer
- Transparantie over financiering, omzet of klantenaantal
Vraag gerust naar een referentiegesprek. Een serieuze leverancier zal dat in de regel binnen redelijke termijn kunnen regelen — hoe snel dat lukt, zegt iets over hoe het bedrijf zijn klantrelaties beheert.
Vraag 2: Hoe gaat de leverancier om met jouw data?
Hier scheiden de wegen zich het snelst. Stel deze vragen letterlijk en eis schriftelijke antwoorden:
Waar wordt mijn data verwerkt en opgeslagen? EU-hosting is een goed begin, maar geen garantie voor AVG-compliance. Vraag ook naar doorgifte naar derde landen, de subverwerkers (onderliggend cloudplatform, modelaanbieder, monitoring-tools) en de concernstructuur van de leverancier zelf. Elke schakel telt en elke schakel moet contractueel zijn afgedekt.
Wordt mijn data gebruikt om modellen te trainen? Dit verschilt sterk per leverancier en per contract. Sommige partijen bieden standaard opt-out, andere niet. Controleer dit per leverancier; generaliseer niet.
Hoe lang wordt mijn data bewaard, en wat gebeurt er bij opzegging? Een goede leverancier kan je bewaartermijnen, verwijderingsprocedures en exportmogelijkheden direct uitleggen.
Is er een verwerkersovereenkomst beschikbaar? Wanneer de leverancier optreedt als verwerker bij het verwerken van persoonsgegevens namens jou, schrijft de AVG (artikel 28) een verwerkersovereenkomst voor. Een leverancier die daar onduidelijk over is, of geen standaard verwerkersovereenkomst kan overleggen, vraagt om aanvullende vragen — niet automatisch om afhaken, maar wel om scherpte voordat je tekent.
Als deze antwoorden vaag, traag of ontwijkend zijn: dat is op zichzelf ook een antwoord.
Vraag 3: Hoe zit het met beveiliging en certificering?
Certificeringen zoals ISO 27001 of SOC 2 zijn geen waterdicht bewijs van veiligheid, maar ze tonen wel dat een organisatie haar processen serieus genoeg neemt om zich extern te laten auditen. Voor kleinere leveranciers is dit kostbaar; daar is een gedocumenteerd informatiebeveiligingsbeleid een redelijk alternatief.
Relevante vragen:
- Hoe wordt toegang tot data binnen het team van de leverancier geregeld?
- Worden gegevens versleuteld in transit en at rest?
- Hoe verloopt incident response? Binnen welke termijn krijg je bericht bij een datalek?
- Zijn er pentests uitgevoerd, en zo ja, wanneer voor het laatst?
Voor toepassingen met een waarschijnlijk hoog privacyrisico ben je als organisatie verplicht een DPIA uit te voeren (AVG artikel 35). Een leverancier die hierin meedenkt en standaarddocumentatie aanlevert, scheelt je weken werk.
Vraag 4: Hoe transparant is de leverancier over zijn techniek?
Hier zit een nuance. Je hoeft niet onder de motorkap te kunnen kijken, maar je moet wel begrijpen wát er gebeurt.
Vraag bijvoorbeeld:
- Welk onderliggend model wordt gebruikt, en kan dat gewisseld worden?
- Antwoordt het systeem op basis van mijn eigen documenten (retrieval), of puur op het algemene model?
- Hoe wordt voorkomen dat het systeem onjuiste antwoorden geeft, en wat gebeurt er als dat tóch gebeurt?
- Welke logging is beschikbaar, zodat ik achteraf kan zien waarom een bepaald antwoord is gegeven?
Een leverancier die alleen praat in marketingtermen — “onze AI begrijpt uw klant” — heeft vaak weinig technische diepgang. Een goede partij legt het simpel uit zónder te verbergen hoe het werkt.
Vraag 5: Hoe gaan ze om met fouten en aansprakelijkheid?
AI maakt fouten. Geen leverancier kan dat uitsluiten. De vraag is hoe ze ermee omgaan.
Kijk naar de SLA. Wat is gegarandeerd qua uptime? Wat is de responstijd bij incidenten? Wat is de aansprakelijkheid bij schade door foutieve output? Veel leveranciers sluiten dit grotendeels uit — dat hoeft geen breekpunt te zijn, maar je moet weten waar je staat.
Vraag specifiek hoe menselijke controle is ingebouwd. Bij klantenservice-toepassingen, juridische processen of medische context is volledig autonome AI zelden verstandig. Een goede leverancier benoemt dit zelf en biedt opties voor menselijke tussenkomst, escalatie en monitoring.
Vraag 6: Past de leverancier bij de AI Act?
De gefaseerd van toepassing wordende verplichtingen onder de AI Act raken steeds meer organisaties. Afhankelijk van de toepassing kunnen er eisen gelden rond risicoclassificatie, documentatie, transparantie naar eindgebruikers en menselijk toezicht.
Een leverancier die hier wegkijkt of zegt “dat regelen we wel als het zover is”, levert je een toekomstig probleem. Vraag concreet: hoe classificeren jullie deze toepassing onder de AI Act, en welke documentatie leveren jullie standaard mee?
Het antwoord hoeft niet perfect te zijn — de regelgeving is complex en ontwikkelt zich nog. Maar er moet wel een doordachte visie achter zitten.
Vraag 7: Hoe gedraagt de leverancier zich in het verkoopproces?
Soms is het signaal het duidelijkst in het gedrag van de leverancier zelf:
- Belooft de leverancier resultaten die te mooi klinken? Indicatieve cijfers zoals “70% tijdsbesparing” of “verdubbeling van conversie” zijn grove marktrichtlijnen en hangen sterk af van integratie, datakwaliteit en beheer. Een eerlijke partij benoemt die afhankelijkheden.
- Krijg je een pilot of proof-of-concept aangeboden tegen redelijke voorwaarden, of moet je direct een jaarcontract tekenen?
- Is er een duidelijke exit-procedure, inclusief data-export?
- Wordt je vraag serieus genomen, of word je afgescheept met sales-praat?
Het verkoopproces is vaak een goede voorspeller van hoe de samenwerking erna verloopt.
Concrete eerste stap
Maak een korte vragenlijst van maximaal tien punten, gebaseerd op de zeven thema’s hierboven, en stuur die naar de twee of drie leveranciers die op je shortlist staan. Geef ze één week voor schriftelijke beantwoording.
Wat je terugkrijgt — de inhoud, de snelheid, de toon — vertelt je vaak binnen vijf minuten welke partij je serieus moet nemen. Pas daarna ga je het gesprek aan over functionaliteit en prijs. Die volgorde voorkomt dat je verliefd wordt op een demo voordat je weet of de leverancier überhaupt past bij je organisatie.
Een goede AI-partner kiezen is geen kwestie van het beste model, maar van de juiste combinatie van techniek, transparantie en gedrag. De vragen hierboven helpen je het verschil te zien.