Skip to Content
ISO 42001Leveranciersbeheer

AI-leveranciersbeheer

Veel organisaties bouwen niet alle AI zelf. Ze kopen modellen in van OpenAI , Google  of Microsoft , of implementeren software met AI-componenten. ISO 42001  zegt: je bent ook verantwoordelijk voor de AI die je inkoopt. Op deze pagina leggen we uit hoe je dat aanpakt.

Waarom leveranciersbeheer voor AI?

De risico’s van ingekochte AI zijn net zo reëel als die van zelfgebouwde AI.

Bias overerven. Een ingekocht model kan bias bevatten. Als jij het gebruikt, is het jouw probleem.

Black box. Je weet vaak niet precies hoe een leverancier zijn AI heeft gebouwd. Wat zit er in de trainingsdata?

Verantwoordelijkheid. Naar je klanten en toezichthouders ben jij verantwoordelijk, niet je leverancier.

Ketenrisico. Als je leverancier een incident heeft, heeft jij een incident.

De EU AI Act maakt dit nog urgenter. Je moet kunnen aantonen dat je hele AI-keten op orde is.

Welke leveranciers tellen?

Breng eerst in kaart welke leveranciers AI leveren of ermee te maken hebben:

Directe AI-leveranciers:

Indirecte leveranciers:

  • Dataleveranciers (als de data voor AI wordt gebruikt)
  • Cloud-providers waar AI draait
  • Ontwikkeltools voor AI

Embedded AI:

  • Software die je al gebruikt en die AI bevat
  • Hardware met AI-componenten

Veel organisaties ontdekken tijdens de inventarisatie dat ze meer AI-leveranciers hebben dan gedacht. Die handige chatbot in je CRM? Dat is een AI-leverancier.

Het leveranciersbeheerproces

Stap 1: Inventarisatie

Maak een register van alle AI-leveranciers:

  • Naam van de leverancier
  • Wat ze leveren
  • Welk AI-systeem het betreft
  • Contractuele relatie
  • Contactpersoon

Stap 2: Classificatie

Niet alle leveranciers zijn even kritisch. Classificeer op basis van:

Kritiekheid van de AI:

  • Hoog: AI die beslissingen neemt over mensen of kritieke processen ondersteunt
  • Midden: AI die belangrijke maar niet kritieke functies vervult
  • Laag: AI voor ondersteunende, niet-kritieke functies

Afhankelijkheid:

  • Hoog: Moeilijk te vervangen, diep geïntegreerd
  • Laag: Makkelijk te switchen

Focus je beheersinspanningen op de hoog-kritieke, hoog-afhankelijke leveranciers.

Stap 3: Risicobeoordeling

Per leverancier beoordeel je de risico’s:

Operationele risico’s:

  • Beschikbaarheid en uptime
  • Prestaties en schaalbaarheid
  • Continuïteit (financiële stabiliteit, exit-strategie)

AI-specifieke risico’s:

  • Transparantie over hoe de AI werkt
  • Bias en eerlijkheid
  • Data-praktijken (privacy, beveiliging)
  • Verantwoordelijkheid bij incidenten

Compliance-risico’s:

  • Voldoet de leverancier aan relevante wetgeving?
  • Heeft de leverancier eigen certificeringen (ISO 42001, ISO 27001)?
  • Hoe gaat de leverancier om met de AI Act?

Stap 4: Due diligence

Voor kritieke leveranciers doe je diepgaander onderzoek:

Vragenlijsten. Stuur een gedetailleerde vragenlijst over AI-praktijken, beveiliging, compliance.

Documentatie opvragen. Model cards, datasheets, audit-rapporten, certificeringen.

Referenties checken. Praat met andere klanten.

Contractbeoordeling. Wat staat er in de voorwaarden over aansprakelijkheid, data-eigendom, compliance?

Stap 5: Contractuele waarborgen

Leg afspraken vast in het contract:

Transparantie:

  • Leverancier informeert over significante wijzigingen in de AI
  • Leverancier deelt relevante documentatie

Compliance:

  • Leverancier voldoet aan relevante wetgeving (AI Act, AVG)
  • Leverancier werkt mee aan audits indien nodig

Prestaties:

  • SLA’s voor beschikbaarheid en responstijd
  • Meetbare kwaliteitscriteria

Incidenten:

  • Meldplicht bij AI-gerelateerde incidenten
  • Medewerking bij onderzoek

Aansprakelijkheid:

  • Wie is aansprakelijk bij AI-fouten?
  • Vrijwaring bij claims van derden

Exit:

  • Hoe krijg je je data terug?
  • Hoe migreer je naar een andere oplossing?

Grote tech-leveranciers (OpenAI, Google, Microsoft) hebben standaardvoorwaarden die lastig te wijzigen zijn. Je hebt beperkte onderhandelingsruimte. Begrijp wat je accepteert en documenteer de restrisico’s.

Stap 6: Monitoring

Leveranciersbeheer is niet eenmalig. Monitor doorlopend:

Prestaties: Halen ze de SLA’s?

Incidenten: Zijn er problemen geweest?

Wijzigingen: Zijn er veranderingen in de AI?

Markt: Zijn er nieuws, reviews, incidenten bij de leverancier?

Compliance: Blijft de leverancier voldoen aan eisen?

Plan periodieke reviews, minimaal jaarlijks voor kritieke leveranciers.

Annex A beheersmaatregelen

ISO 42001 Annex A bevat specifieke maatregelen voor leveranciersbeheer:

A.10.2 Leveranciersbeleid. Je hebt beleid voor de omgang met AI-leveranciers.

A.10.3 Leveranciersrisicobeoordeling. Je beoordeelt, selecteert en monitort AI-leveranciers op risico’s.

A.10.4 Klantrelaties. Als je zelf AI levert, identificeer je klanteisen en beheer je de relatie.

A.10.5 Aanbieden van componenten. Als je AI-componenten levert aan anderen, voorzie je adequate informatie.

Lees meer over de Annex A beheersmaatregelen.

De uitdaging met grote tech-leveranciers

De realiteit: veel organisaties gebruiken AI van grote tech-bedrijven. OpenAI, Google, Microsoft, Amazon. Deze partijen hebben miljoenen klanten en standaardvoorwaarden.

Wat je wél kunt doen:

  • Begrijp de voorwaarden die je accepteert
  • Gebruik enterprise-versies met betere voorwaarden waar mogelijk
  • Documenteer welke risico’s je accepteert
  • Monitor op incidenten en wijzigingen
  • Plan voor alternatieven (vendor lock-in vermijden)

Wat je niet kunt doen:

  • Individuele contractonderhandelingen (meestal)
  • Volledige transparantie afdwingen over hoe hun AI werkt
  • Garanties op specifieke prestaties krijgen

Accepteer dat er restrisico’s zijn. Documenteer ze. Leg uit aan de auditor hoe je ermee omgaat.

Praktisch voorbeeld: OpenAI gebruiken

Je organisatie gebruikt de OpenAI API  voor een klantgerichte chatbot.

Inventarisatie:

  • Leverancier: OpenAI
  • Product: GPT-4 API
  • Toepassing: Klantenservice chatbot
  • Kritiekheid: Hoog (klantcontact)

Risicobeoordeling:

  • Operationeel: Afhankelijk van OpenAI uptime; API kan wijzigen
  • AI-specifiek: Geen controle over model updates; mogelijke bias; hallucinaties
  • Compliance: OpenAI USA-gebaseerd; data verlaat EU tenzij EU-endpoint

Mitigatiemaatregelen:

  • Fallback naar menselijke agent bij problemen
  • Content filtering op output
  • Monitoring op kwaliteit en incidenten
  • EU-endpoint gebruiken waar beschikbaar
  • Gebruikers informeren dat ze met AI praten
  • Regelmatige evaluatie van alternatieven

Documentatie:

  • OpenAI’s usage policies en data handling
  • Interne risicoacceptatie door management
  • Monitoring dashboards en alerts

Leveranciersbeheer en de AI Act

De EU AI Act legt verplichtingen op in de keten. Als je hoog-risico AI gebruikt, moet je kunnen aantonen dat de hele keten compliant is.

Wat de AI Act vraagt:

  • Traceerbaarheid in de keten
  • Documentatie van de AI-leverancier
  • Verantwoordelijkheid bij problemen

Praktische implicatie:

Vraag leveranciers om:

  • Technische documentatie van de AI
  • Bewijs van compliance (of plan daarvoor)
  • Medewerking bij conformiteitsbeoordeling

Dit wordt de komende jaren belangrijker. Leveranciers die niet meewerken, worden minder aantrekkelijk.

Checklist leveranciersbeheer

  • Alle AI-leveranciers geïnventariseerd?
  • Leveranciers geclassificeerd op kritiekheid?
  • Risicobeoordeling per kritieke leverancier?
  • Due diligence uitgevoerd?
  • Contractuele afspraken over AI?
  • Monitoring ingericht?
  • Periodieke reviews gepland?
  • Restrisico’s gedocumenteerd en geaccepteerd?

Meer lezen

AI-ethiek principesEU AI Act en ISO 42001