Vendor Due Diligence voor AI-tools: een 12-punten checklist voor MKB'ers in de EU

De meeste mkb's nemen AI-tools in gebruik zonder de juiste due diligence van leveranciers te doen — en ontdekken het gat wanneer een klant om bewijs van naleving vraagt. Hier is een praktische 12-punten checklist die uw team in 30 minuten per leverancier kan doorlopen.

De 12-punten checklist

1. Verwerkingsovereenkomst (DPA) — gepubliceerd, ondertekend, gearchiveerd.
2. Hostingregio — EU heeft de voorkeur. VS heeft SCC's nodig.
3. Training op uw gegevens — standaard en opt-out duidelijk vermeld.
4. Subverwerkers — gepubliceerde lijst met kennisgeving van wijziging.
5. Beveiligingscertificeringen — SOC 2, ISO 27001, recente rapporten.
6. Meldplicht datalekken — tijdlijn ondersteunt uw 72-uurs AVG-termijn.
7. Auditrechten — of leesbare audirapporten verstrekt.
8. Gegevensverwijdering — snel, met technisch mechanisme.
9. AI-specifieke transparantie — modelkaart, systeemkaart.
10. Uitvoerrechten — rechten voor commercieel gebruik duidelijk.
11. SLA — uptime, ondersteuningsreactie, bedrijfscontinuïteit.
12. Prijzen en verlenging — automatische verlenging, opzegtermijn, prijsverhogingsclausules.

Wanneer af te zien

• Geen DPA beschikbaar.
• Standaard training op gebruikersgegevens zonder opt-out.
• Lijst met subverwerkers niet gepubliceerd.
• Geen beveiligingscertificeringen en weigering om vragenlijst te beantwoorden.
• Weigering om binnen een redelijke termijn te voldoen aan verzoeken tot gegevensverwijdering.

kant-en-klare due diligence van leveranciers

Het Premium Compliance Programma (€899) van Ready AI Act omvat een volledige due diligence-beoordeling van leveranciers voor uw top 5 AI-leveranciers — we doorlopen de 12-punten checklist voor elk, scoren het risico, documenteren de DPA-status en de kaart van subverwerkers. Geleverd binnen 5 werkdagen, beoordeeld door gekwalificeerde ICT/privacyjuristen.