AI-vragen aan leveranciers: de inkoop-checklist voor elk AI-product

Op vrijwel elk product staat tegenwoordig "AI-powered". Dat is goed voor de leverancier en lastig voor jou: hoe weet je of er iets serieus onder de motorkap zit, en of je organisatie geen risico binnenhaalt zodra het contract getekend is? Het goede nieuws is dat je daar geen AI-engineer voor hoeft te zijn. Je hoeft het product niet te kunnen bouwen om er goed over te beslissen. Je moet het kunnen bevragen.

Hieronder staat een vaste set AI-vragen aan leveranciers, opgezet als inkoop checklist. Ze kosten niets om te stellen, en de manier waarop een leverancier antwoordt zegt vaak meer dan de demo zelf. Een serieuze partij heeft deze antwoorden klaarliggen. Wie eromheen praat, verkoopt waarschijnlijk vooral een sticker.

Waarom een vaste checklist beter werkt dan losse vragen

Inkoop van AI gaat mis op de momenten dat niemand een vraag stelde omdat hij voor de hand leek te liggen. Een tool wordt aangeschaft, de data stroomt, en pas een jaar later blijkt dat die data buiten de EU staat of dat het model er stilletjes op getraind heeft. Met een vaste lijst loop je dat soort blinde vlekken systematisch langs, bij elke aanschaf, ongeacht of het om een tool van honderd euro per maand gaat of om een platform van een paar ton.

Er is ook een formele reden. De EU AI Act vraagt sinds 2 februari 2025 (artikel 4) om AI-geletterdheid die past bij je rol en context. Voor wie AI inkoopt betekent dat geen cursus neurale netwerken, maar precies dit: weten welke vragen je stelt. En als je de antwoorden bij het contractdossier bewaart, bouw je vanzelf de aantoonbaarheid op die daarbij hoort.

De AI inkoop checklist: zeven vragen voor elke leverancier

1. Waar wordt onze data verwerkt en opgeslagen?

Vraag om een concreet antwoord, het liefst binnen de EU. Niet "in de cloud" en niet "dat zoeken we voor u uit". Een leverancier die dit niet zo paraat heeft, heeft er waarschijnlijk niet over nagedacht, en dat is op zichzelf al een antwoord.

2. Is er een verwerkersovereenkomst?

Zodra er persoonsgegevens door het product gaan, hoort daar een verwerkersovereenkomst bij, geregeld voordat de eerste data stroomt. Dit is geen detail voor de juristen achteraf, maar een voorwaarde vooraf. Geen overeenkomst betekent: nog niet aanzetten.

3. Wordt er getraind op onze data?

De gewenste uitkomst is nee, en wel contractueel vastgelegd. Let op het verschil tussen een afspraak op papier en een instelling die "uit" staat. Een instelling kan bij een update stilletjes weer aan komen te staan; een contractuele clausule niet. Vraag dus expliciet of het in het contract staat, niet alleen in een instellingenscherm.

4. Welke onderliggende modellen draaien eronder, en wat gebeurt er bij een modelupdate?

Veel AI-producten zijn een schil om een onderliggend model van een grote aanbieder. Dat is prima, maar je wilt weten welke afhankelijkheid je aangaat. Belangrijker nog: het gedrag van zo'n product kan verschuiven zodra het onderliggende model wordt geüpdatet. Vraag hoe de leverancier dat test en hoe ze het aan jou melden. Een eerlijk antwoord hierover zegt veel over hoe volwassen de partij is.

5. Hoe zit het met uitlegbaarheid, bias-testen en monitoring?

Vraag om concrete testresultaten en om monitoring na livegang, niet om een geruststelling. "Ons model is fair" zonder onderbouwing telt niet. Een serieuze leverancier kan laten zien waarop getest is en hoe ze in productie in de gaten houden of het systeem blijft doen wat het hoort te doen.

6. Wat is de exit-strategie?

Dit is de vraag die je behoedt voor lock-in. Kun je je data en configuratie exporteren in een bruikbaar formaat? Wat zijn de opzegtermijnen? En het ongemakkelijke scenario: wat gebeurt er met jouw data als de leverancier omvalt of overgenomen wordt? Hoe lastiger het antwoord, hoe belangrijker dat je het vooraf hebt vastgelegd.

7. Valt deze toepassing in een hoog-risicocategorie, en wat lever je dan aan documentatie?

Denk aan AI die meebeslist over mensen: werving, selectie of beoordeling van medewerkers valt als toepassingsgebied onder de hoog-risicocategorie van de AI Act. Een serieuze leverancier herkent deze vraag meteen en heeft documentatie klaarliggen. "Daar hebben onze juristen naar gekeken", zonder dat er iets op papier komt, is onvoldoende. Twijfel je in welke categorie een toepassing valt? Dan helpt de EU AI Act Checker je snel op weg.

Hoe je de antwoorden leest

Je hoeft niet elk antwoord zelf op waarde te kunnen schatten. Het stellen filtert al. Wie helder en concreet antwoordt, is waarschijnlijk een partner voor de lange termijn. Wie eromheen praat, verkoopt waarschijnlijk een sticker. Een paar antwoorden waar je je oren bij moet spitsen:

• "Dat zoeken we voor u uit." Op vraag 1 of 2 is dat zorgelijk. Een volwassen leverancier weet waar data staat en of er een verwerkersovereenkomst is.
• "Dat staat in de instellingen." Op vraag 3 is dat te zwak. Je wilt een clausule, geen schuifje.
• "Ons model is gewoon fair." Op vraag 5 zonder testresultaten is dat een marketingzin, geen onderbouwing.
• "Daar hoef je je geen zorgen over te maken." Op vraag 6 over exit en lock-in is dat juist een reden om je wel zorgen te maken.
• "AI-powered, maar verder kunnen we niet in detail treden." Soms is het gewone automatisering met een sticker. Niet erg, maar betaal er dan geen AI-premie voor.

Bewaar de antwoorden bij het contractdossier. Zo heb je later, als er een vraag komt of als er iets misgaat, zwart op wit dat er bij de aanschaf geïnformeerd is gekozen.

Verdieping: leer dit echt onder de knie te krijgen

Deze checklist is het inkoophoofdstuk in een notendop. Wil je hem in context zien, met uitleg per vraag en de bredere rol van beslissers en inkopers, dan staat dat uitgewerkt in de gratis module AI in jouw rol. Die maakt deel uit van de gratis AI met Max-academy: korte e-learnings die je in eigen tempo doorloopt, zonder account. Een laagdrempelige eerste stap om je inkoop- en beslissersrol op niveau te brengen, meteen handig voor de geletterdheidsplicht uit artikel 4.

Wil je dat je inkopers, juristen en beslissers dit als team beheersen, afgestemd op jullie eigen aanschafprocessen en voorbeelden? Dan maak ik daar maatwerk voor: een e-learning of training met jullie eigen casussen en leveranciers. Neem contact op en we kijken wat past.