Checklist voor due diligence van legal AI-leveranciers
Het kiezen van een legal AI-leverancier is geen louter inkoopbesluit. Het is een governance-keuze die rechtstreeks raakt aan cliëntvertrouwelijkheid, kwaliteitsniveau en operationeel risico. Professionele standaarden vragen dat kantoren eerst helder afbakenen welke rol de leverancier krijgt, gegevensbescherming borgen en de output procesmatig reviewen voordat zij breed uitrollen (1). Deze checklist helpt teams bij een verdedigbare beoordeling voorafgaand aan volledige productie.
1. Definieer eerst de beoogde werkprocessen
Een leveranciersbeoordeling heeft pas waarde wanneer zij is gekoppeld aan concrete werkprocessen. Een platform dat goed werkt voor openbaar juridisch onderzoek hoeft niet geschikt te zijn voor vertrouwelijke processchriften of cliëntadvies. Begin met de juridische taken die je wilt ondersteunen en beoordeel per taak het bijbehorende risiconiveau.
2. Verifieer governance- en verantwoordelijkheidsmodel
Vraag expliciet wie binnen de leverancier verantwoordelijk is voor productcontrole, beleidsupdates, incidentbeheer en klantcommunicatie. Een serieuze aanbieder legt de toezichtstructuur concreet vast: waar de klant de controle behoudt, en welke instellingen standaard door de leverancier worden toegepast.
3. Beoordeel vertrouwelijkheid en toegangsgrenzen
Voor juridische praktijken is toegangscontrole niet onderhandelbaar. Controleer of de oplossing rolgebaseerde toegang, dossierafbakening, gescheiden collecties en expliciete weigerregels ondersteunt, én of deze instellingen consequent werken voor zoeken, samenvatten, chatfunctionaliteit en export.
Essentieel: kan iemand zonder rechten op een dossier via retrieval of gegenereerde output toch alsnog inhoud afleiden? Als dat mogelijk is, is het controlemodel niet geschikt voor gevoelige dossiers.
4. Onderzoek dataverwerking en bewaartermijnen
- Welke gegevens mogen in prompts, bestanden en logs terechtkomen?
- Hoe lang bewaart de leverancier inhoud standaard en is die termijn configureerbaar?
- Kan jouw kantoor dossierdata, afgeleide data en output van gebruikers verwijderen?
- Hoe worden back-ups en scenario's met rechtsbescherming (legal hold) afgedekt?
- Welke metadata blijft na verwijdering bewaard en met welk doel?
Deze vragen moet een leverancier vóór opschaling kunnen beantwoorden, en niet pas na een pilot. Ze moeten passen bij de relevante regels voor gegevensverwerking met AI-systemen (2).
5. Beoordeel beveiliging met operationele diepgang
Algemene claims over “veiligheid eerst” volstaan niet. Vraag naar bewijs rond identiteitstoegang, encryptie, kwetsbaarhedenbeheer, incidentrespons en change management. Een kantoor hoeft niet over interne architectuurdocumentatie te beschikken om de basisvaliditeit te beoordelen. De kaders rond ketenveiligheid zijn essentieel omdat AI-oplossingen vaak meerdere leveranciers combineren (3).
6. Valideer auditmogelijkheden en toezichtondersteuning
Kantoren hebben controleerbare auditsporen nodig om gebruik te monitoren en incidenten te onderzoeken. Controleer of logs beschikbaar zijn voor toegangswijzigingen, exports, beheersacties en beleidsafwijkingen. Een goed auditmodel helpt bij vragen van cliënten of toezichthouders zonder dat extra inhoud onnodig wordt prijsgegeven.
7. Beoordeel kwaliteitscontrole en afstemming op menselijke review
Leveranciers moeten brontransparantie en georganiseerde reviewprocessen ondersteunen. Vraag hoe output wordt terugvertaald naar bronmateriaal, hoe onzekerheid zichtbaar wordt gemaakt, en hoe reviewverplichtingen automatisch kunnen worden afgedwongen bij werkprocessen met hoger risico.
Het juiste model is ondersteunend, niet autonoom. De eindverantwoordelijkheid voor de juridische conclusie blijft bij de professional.
8. Controleer transparantie over aanbieder en subverwerkers
Wanneer de leverancier met downstreampartijen werkt, moet het kantoor de keten begrijpen: welke subverwerkers betrokken zijn, welke controles zij ondergaan en hoe je wordt geïnformeerd bij wijziging in de keten.
8a. Toets expliciet de GPAI-compliance
Bij leveranciers met general-purpose AI-onderdelen vraag je hoe zij zich verhouden tot geldende GPAI-verplichtingen onder de AI Act. In 2026 gaat dat onder meer over naleving van de EU GPAI Code of Practice en over transparantiedocumentatie, auteursrechtenbeleid en systeemrisicocontroles waar relevant (4).
Kantoren hebben geen broncode of bedrijfsgeheimen nodig. Ze hebben wel eenduidig governancebewijsmateriaal nodig: duidelijke toezeggingen, een duidelijke complianceverantwoordelijke en afstemming van updates wanneer wet- en regelgeving verandert.
9. Eis een helder incidentcommunicatiepad
Leg tijdens due diligence vooraf vast via welke kanalen incidenten worden gemeld, welke termijnen gelden en welke inhoud een update bevat. Een volwassen leverancier kan duidelijk maken hoe klanten worden geïnformeerd, welke onderzoeksondersteuning beschikbaar is en hoe herstelacties worden gevolgd.
10. Voer een pilot uit met duidelijke stopvoorwaarden
Start met een gecontroleerde pilot voor brede uitrol. Definieer succescriteria die kwaliteitsniveaus en controlevereisten bevatten, niet alleen snelheid. Leg ook stop- en herzieningsvoorwaarden vast: wanneer wordt de pilot gepauzeerd, aangepast of beëindigd.
Scorecardsjabloon voor due diligence van leveranciers
Gebruik een schaal van 1 tot 5 per kerngebied:
- Passendheid bij werkprocessen
- Sterkte van toegangscontrole
- Duidelijkheid rond verwerking en bewaring van data
- Auditmogelijkheden en toezichtondersteuning
- Volwassenheid van beveiligingsprocessen
- Incidentrespons en transparantie
- Afstemming op review en brontransparantie
Leg een minimumscore per categorie vast voordat je hoog-risico juridische werkprocessen goedkeurt.
Kantoren moeten niet alleen vragen: “Is deze leverancier innovatief?” Maar vooral: “Kan deze leverancier professioneel juridisch werk dragen onder echte vertrouwelijkheids- en governance-eisen?”
Conclusie
Een robuust due diligence-proces voor legal AI-leveranciers beschermt cliënten, juristen en kantoor tegelijk. Het verlaagt juist onzekerheid, waardoor adoptie gecontroleerder kan verlopen in plaats van met reactieve fixes achteraf. Ook de ethische richtlijnen onderstrepen dat de eindverantwoordelijkheid voor juridisch werk bij de jurist blijft, niet bij de tool (5).