AI-leveranciers verschillen sterk in compliance-readiness, security-praktijk en data-omgang. Een gestructureerde vendor-assessment voorkomt dat u in jaar twee ontdekt dat uw vendor niet AI Act-compliant is.
Compliance-laag
AI Act-classificatie van het tool (provider, deployer, GPAI). AVG-clausules, sub-processor-lijst, data residency, incident reporting-SLA, audit rechten. Per item bewijsmateriaal opvragen.
Security-laag
ISO 27001 of SOC 2 Type 2, penetration test rapport, vulnerability management, security incident-historie. Voor AI specifiek: model-isolatie, prompt-injection-protectie, training-data-poisoning-mitigatie.
Data-soevereiniteit en exit
Welke data krijgt vendor, waar wordt die opgeslagen, wat gebeurt bij contract-einde. Geen vague clauses; concrete deletion-procedures plus bewijsmateriaal. Lock-in-risico evalueren: hoe makkelijk migreer je weg.
Financiele en operationele soliditeit
Een AI-vendor die volgend jaar omvalt is een serieus operationeel risico. Financiele review op startups die kritieke functionaliteit leveren. Concentration risk bij overmatige afhankelijkheid van een vendor onder DORA voor financieel.
Verwant: Freelance AI consultant inhuren, AI procurement clausules.