U controleert alles, behalve de veiligheid van uw eigen tools

U controleert alles, behalve de veiligheid van uw eigen tools

23 maart 2026

Johan de GrootJohan de Groot

De Nederlandse schilder Samuel van Hoogstraten was een meester in trompe-l'oeil, schilderijen die het oog bedriegen. Zijn werk uit 1664 toont brieven, zegels en documenten die er zo echt uitzien dat je ze van het doek wilt pakken. Maar het is verf op canvas, niets meer. Hetzelfde geldt voor sommige beveiligingsclaims: ze zien er overtuigend uit, maar kijk goed.

U leest contracten woord voor woord. U controleert elke claim van de tegenpartij. U accepteert geen getuigenverklaring zonder deze te toetsen. Maar hoe kritisch kijkt u naar de beveiligingsclaims van uw eigen juridische software?

De kans is groot: niet kritisch genoeg.

De opkomst van legaltech en de veiligheidsillusie

Steeds meer advocatenkantoren werken met AI-tools voor juridisch onderzoek, documentanalyse en het opstellen van processtukken. Logisch, de efficiëntiewinst is enorm. Maar met die tools vertrouwt u ook uw meest gevoelige data toe aan een externe partij. Denk aan zaken, contracten, persoonsgegevens en bedrijfsgeheimen van uw cliënten.

De meeste legaltech-leveranciers begrijpen dat veiligheid een verkoopargument is. Daarom ziet u op vrijwel elke website dezelfde claims: "ISO 27001 gecertificeerd", "Enterprise-grade security", "SOC 2 compliant." Het klinkt geruststellend. Maar wat betekent het werkelijk?

Niet alle certificeringen zijn gelijk

Hier wordt het interessant. En zorgwekkend.

Een ISO 27001-certificaat wordt afgegeven door een certificeringsinstantie. Maar niet elke certificeringsinstantie opereert op hetzelfde niveau. Het verschil kan enorm zijn.

Scenario A: Een internationaal geaccrediteerde certificeringsinstantie met decennia ervaring stuurt auditors fysiek naar uw leverancier. Ze controleren systemen, processen, mensen en documentatie ter plaatse. De audit duurt weken. De instantie zet haar eigen reputatie op het spel bij elk certificaat dat ze afgeeft.

Scenario B: Een klein, onbekend certificeringsbedrijf voert de audit volledig op afstand uit. Niemand komt fysiek langs. De audit is snel en goedkoop. Het certificaat ziet er op papier identiek uit.

Beide leveranciers mogen op hun website schrijven: "ISO 27001 gecertificeerd." Maar de waarde van die certificering is fundamenteel anders.

De opkomst van automatische compliance-tools

Er is nog een trend die u moet kennen. Steeds meer techbedrijven gebruiken automatiseringsplatforms om hun compliance-pagina's op te zetten. Deze tools genereren een professioneel ogende "Trust Center" op de website van uw leverancier. Het ziet er indrukwekkend uit, met badges, vinkjes en statusoverzichten.

Maar een geautomatiseerd compliance-dashboard is geen audit. Het is een tool die controleert of bepaalde technische instellingen correct zijn geconfigureerd. Het vervangt niet de kritische blik van een menselijke auditor die uw leverancier fysiek bezoekt, medewerkers interviewt en processen toetst.

ISO 42001: de nieuwe standaard voor AI

Met de opkomst van AI-tools in de juridische sector is er een nieuwe standaard bijgekomen: ISO/IEC 42001:2023. Deze norm richt zich specifiek op het verantwoord beheren van AI-systemen, van risicomanagement en transparantie tot monitoring en menselijk toezicht.

Dit is bijzonder relevant voor advocaten die AI-tools gebruiken. De EU AI Act stelt steeds strengere eisen aan AI-systemen, en ISO 42001 biedt een raamwerk om aan die eisen te voldoen.

Maar ook hier geldt: de waarde van de certificering hangt af van wie de audit uitvoert. De norm is zo nieuw dat veel gerenommeerde Europese certificeringsinstanties nog bezig zijn met hun eigen accreditatie. Ze willen eerst zeker weten dat ze de standaard op het juiste niveau kunnen toetsen. Ondertussen zijn er al leveranciers die claimen gecertificeerd te zijn, geaudit door partijen die mogelijk minder streng te werk gaan.

Vraag uzelf af: als de meest gerespecteerde auditors zelf nog niet klaar zijn om deze certificering af te geven, hoe serieus is dan een certificaat van een partij die het wél al doet?

Waar u op moet letten: een checklist

Als advocaat bent u getraind om bewijs te beoordelen. Pas diezelfde discipline toe op uw legaltech-leveranciers.

Over de certificering

Wie heeft de audit uitgevoerd? Zoek de naam van de certificeringsinstantie op het certificaat. Is het een internationaal erkende partij met een sterke reputatie, of een onbekend bedrijf? Controleer of de instantie geaccrediteerd is door een erkende accreditatie-instantie. In Nederland is dat de Raad voor Accreditatie.

Was de audit fysiek of op afstand? Een remote audit is niet per definitie waardeloos, maar een fysieke audit is grondiger. Bij een fysieke audit worden systemen, werkplekken en processen ter plaatse gecontroleerd. Vraag uw leverancier hoe de audit is uitgevoerd.

Wat is de scope? Een ISO-certificaat heeft altijd een gedefinieerde scope. Dekt de certificering daadwerkelijk het product dat u gebruikt, of is de scope beperkt tot een deel van de organisatie?

Is het certificaat geldig en verifieerbaar? Controleer de geldigheidsdatum. Neem contact op met de certificeringsinstantie om de authenticiteit te verifiëren. Een betrouwbare leverancier maakt dit makkelijk.

Kunt u het certificaat downloaden? Als een leverancier claimt gecertificeerd te zijn maar u het certificaat niet kunt inzien of downloaden, beschouw dat als een rode vlag.

Over de penetratietest

Is er een penetratietest uitgevoerd? Een ISO-certificaat toetst processen en beleid. Een penetratietest toetst de daadwerkelijke technische beveiliging. Beide zijn belangrijk. Lees waarom wij Andri laten pentesten door Fox-IT (NCC Group).

Wie heeft de pentest uitgevoerd? Net als bij certificeringen geldt: de naam van het testbedrijf zegt alles. Een pentest door een internationaal erkend cybersecuritybedrijf heeft meer waarde dan een test door een onbekende partij.

Hoe lang duurde de test? Een pentest van twee dagen is fundamenteel anders dan een test van twee weken. Een grondige test kost tijd.

Was het een white-box of black-box test? Bij een white-box test krijgt de tester volledige toegang tot de broncode en architectuur. Dit is grondiger dan een black-box test waarbij de tester van buitenaf werkt.

Over de dagelijkse praktijk

Waar staan uw gegevens? Worden uw data opgeslagen en verwerkt binnen de EU? Of staan ze op servers in de VS of elders? Lees hoe Andri documentbeveiliging aanpakt.

Worden uw data gebruikt voor training? Veel AI-tools gebruiken invoerdata om hun modellen te verbeteren. Voor een advocatenkantoor is dit onacceptabel. Vraag expliciet of uw data geïsoleerd blijven.

Is er vendor lock-in? Draait uw leverancier op één AI-provider? Als die provider problemen krijgt, wat gebeurt er dan met uw tool?

Hoe reageert de leverancier bij incidenten? Vraag naar het incident response plan. Hoe snel wordt u geïnformeerd bij een datalek? Wie is het aanspreekpunt?

AVG en het recht op verwijdering

Een punt dat vaak over het hoofd wordt gezien: de Algemene Verordening Gegevensbescherming geeft uw cliënten het recht om hun persoonsgegevens te laten verwijderen. Dat geldt ook voor data die verwerkt wordt door uw legaltech-tools.

Vraag uw leverancier: kan ik data laten verwijderen? Hoe snel? Is er een directe, eenvoudige manier om dit te doen, of moet ik weken wachten op een e-mailreactie van een supportafdeling? Een leverancier die privacy serieus neemt, maakt dit proces zo laagdrempelig mogelijk, liefst met één klik.

De anonimiseringsillusie

Sommige legaltech-leveranciers promoten anonimisering als de oplossing voor privacyzorgen bij AI-gebruik. "Uw data wordt eerst geanonimiseerd voordat het door het AI-model gaat." Klinkt geruststellend. Maar denk even mee.

Om data te anonimiseren moet het systeem de data eerst lezen en begrijpen. Het moet namen herkennen, adressen identificeren, zaaknummers detecteren. Dat lezen en begrijpen is al verwerking in de zin van de AVG. De data is dus al verwerkt voordat de anonimisering plaatsvindt.

En de AVG maakt ook geen onderscheid naar het type hardware waarop die verwerking plaatsvindt. Artikel 4 AVG definieert verwerking als "elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés." Of uw data verwerkt wordt op een CPU, een GPU of een TPU: juridisch is het identiek. Het gaat om het feit dát er verwerkt wordt, niet hoe.

De ongemakkelijke waarheid over uw huidige tools

En hier wordt het ongemakkelijk. Veel advocaten die terughoudend zijn over AI-tools vanwege privacyzorgen, gebruiken dagelijks diensten die exact hetzelfde doen.

Uw e-mail draait op Microsoft 365. Uw documenten staan in een cloud-gebaseerd DMS. Uw Teams-gesprekken gaan via datacenters over de hele wereld. Uw agenda, uw contacten, uw facturatie: het draait allemaal op dezelfde cloud-infrastructuur waar u bij AI-tools vraagtekens bij zet.

Dat is geen argument om AI-tools blindelings te vertrouwen. Het is een argument om dezelfde kritische vragen te stellen aan álle software die u gebruikt. Niet alleen aan de nieuwe, opvallende AI-tools. De data van uw cliënten verdient overal dezelfde bescherming.

De werkelijke vraag is niet "gebruiken we AI?", maar "hoe gaat onze leverancier om met onze data?" Waar wordt het opgeslagen? Wie heeft toegang? Wordt het gebruikt voor andere doeleinden? Kan ik het laten verwijderen? Dat zijn de vragen die ertoe doen, ongeacht of het om een e-mailprogramma gaat of om een AI-platform voor juridisch werk.

De parallel met uw eigen werk

Als advocaat weet u dat het verschil tussen winnen en verliezen vaak in de details zit. Een getuige die niet gecontroleerd is. Een contract dat niet goed gelezen is. Een bewijs dat niet geverifieerd is.

Hetzelfde geldt voor de veiligheid van uw tools. Het verschil zit niet in de claim op de website, maar in de details erachter. Wie heeft geaudit? Hoe is geaudit? Wat is de scope? Kan ik het verifiëren?

U zou nooit een contract accepteren zonder het te lezen. Accepteer ook geen beveiligingsclaim zonder deze te controleren.

Conclusie

De legaltech-markt groeit snel. Dat is goed, want deze tools maken u efficiënter en uw dienstverlening beter. Maar snelle groei trekt ook partijen aan die compliance als een vinkje beschouwen in plaats van als een fundament.

Uw cliënten vertrouwen u met hun meest gevoelige informatie. Dat vertrouwen strekt zich uit tot de tools die u gebruikt. Neem die verantwoordelijkheid serieus.

Stel de vragen. Controleer de certificaten. Beoordeel de auditor. Doe wat u altijd doet, maar dan ook voor uw eigen software.

Want als het misgaat, is "maar ze waren toch gecertificeerd?" geen verdediging die standhoudt.

Lees ook: hoe Andri documentbeveiliging aanpakt, waarom wij Andri laten pentesten door Fox-IT, en de beste juridische AI-tools van 2026 vergeleken.