Waarom een eigen checklist en niet die van je leverancier?
De meeste AI-leveranciers leveren keurig een DPA, een SLA-blad en een security-pager aan zodra je serieus naar enterprise-tier kijkt. Die documenten zijn niet slecht. Maar ze zijn geschreven om jou over de streep te trekken, niet om je te beschermen tegen wat er over twaalf maanden gebeurt. Drie scenario’s geven dat extra gewicht: Anthropic diende op 1 juni 2026 een vertrouwelijke S-1 in, OpenAI deed dat al op 22 mei, en de EU AI Act stapt op 2 augustus 2026 uit zijn voorbereidingsfase en wordt afdwingbaar.
Kort gezegd: het inkoopgesprek dat je vandaag voert, vindt plaats op een ander speelveld dan het gesprek dat je over een jaar voert. Wie nu de juiste clausules vastlegt, voorkomt herstelwerk in 2027.
Deze checklist is geen vervanging voor je juridische team — wel een werkdocument om mee naar de onderhandeltafel te nemen.
📋 Gebruik dit artikel als werkdocument. 5 domeinen, 20 vragen, één afvinkbare tabel onderaan. Lees alles, of spring direct naar het domein waar je vandaag aan werkt: Pricing · SLA · Data & governance · Switchability · Exit · Tabel.
Beginner-tip:Twijfel je sowieso over welke AI-leverancier bij je past? Lees eerst onzevergelijking van ChatGPT, Claude, Gemini en Copilot. Een checklist heeft pas zin als je in principe weet met wie je in gesprek wilt.
De vijf domeinen in één blik
| Domein | Kernvraag | Risico als je niets regelt |
|---|---|---|
| 1. Pricing & prijsbescherming | Wat gebeurt er met mijn tarief over 24 maanden? | Lock-in tegen stijgende lijstprijzen post-IPO |
| 2. SLA & uptime | Wat krijg ik gegarandeerd, en wat is de compensatie? | Productieverstoring zonder verhaal |
| 3. Data & governance | Wie ziet, bewaart en verwerkt mijn data, hoelang? | GDPR-boete tot €20M of 4% jaaromzet |
| 4. Switchability & multi-vendor | Hoe makkelijk kan ik weg of parallel naar een tweede? | Afhankelijkheid die je onderhandelpositie sloopt |
| 5. Exit-voorwaarden | Wat blijft van me over als ik vertrek? | Data-portabiliteit en aansprakelijkheid die nasleept |
Per domein staan hieronder vier concrete vragen om in je RFI, RFP of contract-review op te nemen. Niet alle twintig hoeven in elk contract — wel moet je weten waarom je een vraag overslaat.
1. Pricing & prijsbescherming
Anthropic en OpenAI hebben beide voorbij de $850 miljard-waardering een S-1 ingediend; SpaceX gaat in juni als eerste naar de beurs. Wat dat in de praktijk betekent voor jou als afnemer: leveranciers krijgen straks kwartaaldoelen, en die druk loopt vroeger of later in je tarief. Niet altijd via directe prijsverhoging — vaak via SKU-rationalisatie, het wegverhuizen van features naar duurdere tiers, of het inkorten van de gratis quota.
De vragen die je opstelt:
- Wat is de maximale prijsstijging per jaar over de contracttermijn? Vraag om een numerieke cap — 5-7% per jaar is in 2026 een normaal verzoek, en de meeste vendors gaan akkoord als je een meerjarige commitment biedt. Bij de recent gepubliceerde pricing-analyse Claude versus stagiair zie je waarom dit ertoe doet.
- Welke features kunnen worden verschoven naar een hogere tier? Vraag om een “feature freeze”-clausule voor de looptijd: features die vandaag in jouw tier zitten, blijven daar zitten, ook na een productupdate.
- Wat gebeurt er met de prijs bij overschrijding van het volume-commitment? Het standaardantwoord is “overage charges aan list price”. Vraag om een afgesproken overage-tarief dat niet hoger ligt dan +20% boven je contractrate.
- Krijg ik aandelen-gerelateerde prijsbescherming na IPO? Dit klinkt exotisch, maar vendors die binnen 12 maanden naar de beurs gaan staan vaak open voor een “no-IPO-bump”-clausule: prijzen blijven gelijk in de 6 maanden rond de listing. Vragen kost niets.
Gevorderden:De interessante asymmetrie zit in compute-pricing. Bij directe API-afname betaal je per token; bij AWS Bedrock of Google Vertex AI betaal je per token plus een platform-marge (~10%). Een meerjarige Bedrock-deal kan goedkoper uitkomen dan een directe Anthropic-deal omdat AWS hardere committeringen aan partners aanbiedt — vraag beide offertes op en vergelijk de total cost over de looptijd, niet de unit-prijs.
2. SLA & uptime
Anthropic Standard Tier heeft geen SLA. Geen uptime-garantie, geen latency-belofte, geen throughput-floor — alles is best-effort. Pas op Priority Tier verschijnt een uptime-target van 99,5%, in ruil voor een vooraf afgesproken commitment van X tokens per minuut over 1, 3, 6 of 12 maanden (Bron: CloudZero). Enterprise Tier krijgt custom-onderhandelde cijfers die niet publiek zijn.
Voor productie-workloads is dit het meest onderbevraagde domein. Stel je voor: je inboarding-flow draait op Claude, en het API-platform ligt vier uur plat midden op een werkdag. Wat is je verhaal? Standard Tier: niets. Priority Tier: prorata service credits, maar geen vergoeding voor jouw omzetderving. Enterprise Tier: wat je hebt onderhandeld.
De vragen die je opstelt:
- Wat is het exacte uptime-percentage, en hoe wordt downtime gemeten? “99,5%” klinkt strak, maar dat is 3,6 uur downtime per maand. Vraag om de meetwijze: rolling 30-day window, status-page-data, of customer-reported.
- Wat is de financiële compensatie bij SLA-overtreding? Standaard: prorata service credits. Vraag om credits als percentage van de monthly bill (10-25% bij meerdere uren breach), niet als percentage van de gederfde uren.
- Is er een Time-To-First-Token (TTFT) of latency-floor? Anthropic biedt deze garantie niet standaard. Voor real-time use cases (chatbots, agents) wil je een p95-latency-belofte — bijvoorbeeld <2 seconden TTFT voor 95% van de requests.
- Hoe verloopt incident-communicatie? Eis een named incident-contact (geen ticket-systeem) en een SLA voor eerste reactie (≤30 minuten voor severity-1).
Beginner-tip:De meeste organisaties starten op Standard Tier en groeien organisch door. Dat is prima — tot het moment dat een productdienst van AI afhankelijk wordt. Trigger om naar Priority of Enterprise te schakelen: zodra de impact van vier uur downtime jouw kwartaaldoelen raakt.
3. Data & governance — GDPR en de EU AI Act
Dit is waar de zwaarste boetes zitten. Onder GDPR is een Data Processing Addendum (DPA) verplicht zodra een externe partij persoonsgegevens namens jou verwerkt. Ontbreken van een DPA is een directe overtreding, met sancties tot €20 miljoen of 4% van de wereldwijde jaaromzet (Bron: Secure Privacy).
Daar bovenop legt de EU AI Act sinds 2 augustus 2025 verplichtingen op aan providers van general-purpose AI-modellen — technische documentatie, training-data-samenvatting, copyright-compliance, en voor systemic-risk modellen (>10²⁵ FLOPs training compute) ook adversarial testing en incident-reporting (Bron: Europese Commissie). Vanaf 2 augustus 2026 mag de Commissie boetes opleggen. Vóór die datum: alle verplichtingen lopen, alleen de stok ligt nog naast het pad.
De vragen die je opstelt:
- Is de DPA standaard onderdeel van het contract, en mag mijn juridische team hem reviewen vóór tekenen? Anthropic, OpenAI en Google leveren allemaal standaard-DPA’s. Vraag om de concept-versie minimaal twee weken vóór tekening, en check op subprocessor-lijst, data-residency en SCC’s voor doorgifte naar de VS.
- Wordt mijn data gebruikt voor modeltraining? Standaard én optioneel? Bij OpenAI Enterprise, ChatGPT Business en de API: standaard nee, geen training (Bron: OpenAI). Bij standaard-API zonder enterprise-tier en bij gratis tiers: ja, tenzij je opt-out toepast. Bevestig dit in het contract, niet alleen in een blog-post.
- Wat is de retentietermijn voor inputs en outputs, en is Zero Data Retention beschikbaar? OpenAI default is 30 dagen voor abuse-detectie; ZDR is opt-in via je accountmanager en alleen op eligible endpoints (Bron: OpenAI Data Controls). Vraag de exacte endpoint-lijst op voordat je tekent.
- Heeft de leverancier publieke documentatie voor EU AI Act-naleving, en kun je een rapport krijgen als bijlage? Vanaf augustus 2026 wordt dit formeler. Vraag nu om een commitment dat de leverancier zijn GPAI-documentatie binnen 30 dagen na publicatie deelt. Onze bredere uitleg van wat de EU AI Act voor Nederlandse MKB betekent geeft de context.
4. Switchability & multi-vendor
Een eenzijdige AI-stack is per definitie een onderhandelingsrisico. Het Karpathy-effect trok veel teams naar Claude — maar als jouw hele workflow op één modelfamilie draait, ben je geen klant, je bent een onderpand.
De praktische test: kun je morgenochtend 30% van je verkeer naar een tweede vendor routeren? Niet “in theorie met een sprint van twee weken”. Echt, morgenochtend.
De vragen die je opstelt:
- Welke API-conventies hanteert de leverancier ten opzichte van industriestandaarden? OpenAI’s API-conventie is de feitelijke standaard; Anthropic en Google volgen die deels via wrappers en proxy-libraries. Vraag of de leverancier garandeert dat hun API binnen 12 maanden compatibel blijft met je huidige integratie-laag.
- Worden mijn prompts en context-templates exporteerbaar opgeleverd? Niet alleen “ja je kunt ze copy-paste”. Vraag om een machine-leesbaar exportformaat — JSON of YAML — dat je in een ander modelplatform kunt importeren.
- Is er een referentie-architectuur of partner-integratie naar concurrerende vendors? Veel vendors hebben dit niet, en dat is op zich informatie. Een leverancier die je actief helpt switchen, is een leverancier die vertrouwt op zijn productkwaliteit.
- Kun je via een abstractie-laag (LiteLLM, OpenRouter, eigen gateway) afnemen en behoudt je dezelfde voorwaarden? Sommige vendors blokkeren dit in hun TOS; check expliciet. Wie via een abstractie-laag werkt, vereenvoudigt switchen, maar verliest soms toegang tot premium features.
Gevorderden:De échte multi-vendor test is een real-time routing-policy: 80% naar je primaire vendor, 20% naar je back-up. Dat houdt je back-up warm draaiend, en geeft je inkooper een hard cijfer aan de tafel (“we kunnen morgen naar 50/50”). Tools als LiteLLM en OpenRouter maken dit operationeel haalbaar; lees ook onzehead-to-head ChatGPT vs Claude op debesteaitools.nlals startpunt voor je vendor-vergelijking.
5. Exit-voorwaarden
Wat blijft van je over als je vertrekt? Dit is het domein waar de meeste contracten zwak zijn, omdat geen van beide partijen er graag over praat op het moment van tekenen.
De vragen die je opstelt:
- Hoelang heb ik na contracteinde toegang tot logs, prompts, fine-tuned modellen en embeddings die ik bij de leverancier heb gebouwd? Vraag om minimaal 90 dagen post-termination export-window, machine-leesbaar formaat, en gratis. Zonder die clausule kun je technisch “weg” maar functioneel niet.
- Worden mijn fine-tuned modellen of custom GPT’s/Projects mijn eigendom, en mag ik ze meenemen? Standaardantwoord vendor: nee, het model is hún IP. Pleitbaar antwoord: het model is hún infrastructuur, de outputs zijn jouw IP, en je hebt recht op de training-data-bundel waarmee je het model elders opnieuw kunt fine-tunen.
- Welke aansprakelijkheid blijft na contracteinde gelden — voor data die nog in hun systemen zit? Eis een verwijdering-bewijs (deletion attestation) binnen 30 dagen na opzegging, met sancties als het niet wordt geleverd.
- Is er een vrijwillige migratie-assistentie of credits voor onboarding bij een concurrent? Sommige vendors bieden dit aan als gebaar; vraag ernaar, vooral bij langjarige contracten.
De checklist in één tabel
| # | Domein | Vraag | Concrete clausule om op te eisen |
|---|---|---|---|
| 1 | Pricing | Max. prijsstijging per jaar? | Cap 5-7% per jaar |
| 2 | Pricing | Feature-tier-stabiliteit? | Feature freeze over contracttermijn |
| 3 | Pricing | Overage-tarief? | Max +20% boven contractrate |
| 4 | Pricing | IPO-bump-bescherming? | Geen prijswijziging ±6 mnd rond listing |
| 5 | SLA | Uptime % en meetwijze? | ≥99,5% over rolling 30 dagen |
| 6 | SLA | Compensatie bij overtreding? | Service credits 10-25% maandfactuur |
| 7 | SLA | Latency-floor? | p95 TTFT-belofte voor real-time use |
| 8 | SLA | Incident-respons? | Named contact, ≤30 min eerste reactie |
| 9 | Data | DPA in concept opvragen? | Min. 2 weken vóór tekening |
| 10 | Data | Training op mijn data? | Contractueel uitgesloten |
| 11 | Data | Retentie & ZDR? | Endpoint-lijst gespecificeerd |
| 12 | Data | EU AI Act-bewijslast? | GPAI-docs binnen 30 dagen na publicatie |
| 13 | Switch | API-compatibility-garantie? | 12 mnd backwards compatibility |
| 14 | Switch | Export prompts/templates? | Machine-leesbaar formaat |
| 15 | Switch | Partner-integratie concurrenten? | Documenteren of expliciet weigeren |
| 16 | Switch | Abstractie-laag toegestaan? | Bevestigen in TOS |
| 17 | Exit | Post-termination toegang? | ≥90 dagen export-window, gratis |
| 18 | Exit | Eigendom fine-tunes/customs? | Training-data-bundel meenemen |
| 19 | Exit | Verwijderbewijs? | ≤30 dagen attestation |
| 20 | Exit | Migratie-assistentie? | Vraag naar credits/begeleiding |
Print deze tabel, neem hem mee naar het volgende vendor-gesprek, en vink af wat al geregeld is. Wat na het gesprek nog open staat, gaat in de redline-ronde.
Samenvatting — de 5-minuten-versie
- Bevraag elk AI-contract op vijf domeinen: pricing, SLA, data en governance, switchability, exit. Twintig concrete vragen samen.
- Anthropic en OpenAI hebben geen standaard publieke enterprise-SLA — alleen Priority Tier (99,5% uptime-target) en custom Enterprise Tier. Eis cijfers op vóór je tekent.
- Een Data Processing Addendum is verplicht onder GDPR; ontbreken kan boetes tot €20 miljoen of 4% van de jaaromzet opleveren.
- EU AI Act-GPAI-verplichtingen lopen sinds 2 augustus 2025; vanaf 2 augustus 2026 mag de Europese Commissie boetes opleggen. Eis een compliance-roadmap als bijlage.
- Plan switchability vóór je tekent: API-compatibility, exporteerbare prompts, abstractie-laag toegestaan in TOS — en houd minimaal één tweede vendor warm.
Bronnen
- CloudZero — Anthropic Claude API Pricing 2026 — Standard / Priority / Enterprise Tier-structuur en SLA-details
- Europese Commissie — General-purpose AI obligations under the AI Act — primaire bron voor GPAI-verplichtingen en handhavingsdatum
- OpenAI — Business data privacy, security, and compliance — standaard data-handling enterprise en API
- OpenAI — Data controls in the OpenAI platform — retentie, ZDR-eligibility, endpoint-lijst
- Secure Privacy — The SaaS DPA Guide: GDPR Requirements — DPA-verplichtingen, SCC’s, boete-niveaus
- OpenAI — Data Processing Addendum — referentie-DPA om jouw juridische team mee te laten vergelijken