Een IT-directeur uit een gereguleerde financiële tak zat tegenover me en wilde geen demo van een chatbot zien. Hij wilde één ding weten: kon het lokaal draaien, via Model Context Protocol, zonder dat er ook maar één document naar buiten ging. Twee weken later zat ik bij een accountant die bang was voor een datalek en precies dezelfde vraag stelde. Daarna een eigenaar van de tweede generatie uit de elektrotechniek, die zelf al tot dezelfde conclusie was gekomen: zelf hosten waar data-eigendom telt, de cloud waar het niet uitmaakt. Drie verschillende sectoren, steeds diezelfde vraag. Blijft alles binnen de eigen muren?
Dat gesprek sluit de deal. Niet de vraag welk model de hoogste benchmarkscore haalt, maar de vraag waar de data fysiek heen gaat zodra iemand op enter drukt.
Het echte struikelblok is databeheer, niet interesse
In gereguleerde segmenten van het mkb, denk aan advocatuur, notariaat, accountancy, medische praktijken, financieel adviseurs en de IT-afdeling van grotere bedrijven, wordt cloud-AI zelden om de prijs tegengehouden. Het wordt tegengehouden omdat niemand de juridisch verantwoordelijke zover krijgt zijn handtekening te zetten onder een verwerkersovereenkomst waarbij cliëntdossiers, patiëntgegevens of financiële stukken op Amerikaanse infrastructuur belanden. De interesse is er. De wil is er ook. Maar op de vraag wie de data beheert, loopt het vast.
Dat is een ander gesprek dan de meeste AI-leveranciers voeren. Zij verkopen wat een model kan: beter redeneren, meer context, nieuwere modellen. Voor deze koper is dat het verkeerde criterium. Het draait om waar het document vandaan komt en waar het heen gaat, niet om hoe goed het antwoord is. Een matig antwoord op de eigen data, gegarandeerd binnenshuis, verslaat een briljant antwoord in de cloud zonder die garantie.
De offline-demo geeft de doorslag
Een benchmark overtuigt deze koper niet. Een grafiek met MMLU-scores of een tabel met tokenprijzen net zomin. Wat wel werkt: de wifi uit, en het lokale model beantwoordt nog steeds een vraag over de eigen documenten. Er is geen verbinding, dus er kan niets weglekken. Dat is geen retorische truc. Het is een fysiek bewijs dat iedereen in de kamer ziet.
De reden dat dit wél de juiste snaar raakt en een benchmark niet, is simpel: het is helder genoeg om in een audit uit te leggen. Een CISO of compliance officer hoeft de werking van een transformer niet te doorgronden om te snappen dat een kastje zonder internetkabel geen data verstuurt. Dat bewijs is zichtbaar, het is zwart-wit en het past in twee zinnen in een memo aan de directie. Daar legt een lange uitleg over zero-retention API-policies het altijd tegen af.
Nuance: EU-hosting voldoet ook
Dit hoort in elk eerlijk gesprek met een CISO thuis. Inference binnen de EU, met de juiste verwerkersovereenkomst en garanties over de opslaglocatie, voldoet net zo goed aan de AVG. Het kastje onder het bureau is niet de enige route die door de keuring komt. Het wint op iets anders: het is makkelijker uit te leggen en het voelt simpeler. Als je aan een rechter, een toezichthouder of een tuchtcollege moet uitleggen waar het document stond op het moment van verwerking, dan is het verschil tussen "in onze eigen serverkast" en "bij een Europese subverwerker van een Amerikaanse provider, met een schriftelijke garantie" juridisch misschien klein, maar het verhaal eromheen is totaal anders.
Die nuance snijdt twee kanten op. Beloof geen eigen server als EU-hosting volstaat en de klant de rompslomp van een eigen kastje helemaal niet wil. Maar voor de klant bij wie het dossier zelf de waarde is, en bij wie één lek de hele praktijk kost, is data binnenshuis houden geen extraatje. Het geeft de doorslag.
On-premise is een beheerverplichting, geen verkoopargument
Dit is het deel dat in marketingverhalen over lokale AI steevast ontbreekt. Zo'n kastje kan ruwweg één zware gebruiker tegelijk aan. Als drie partners op hetzelfde moment een dossier van 200 pagina's opvragen, ontstaat er een wachtrij. Hoeveel gebruikers tegelijk, monitoring, modelupdates, onderhoud aan de GPU's, een plan voor als het misgaat: dat breng je in kaart vóór je iets belooft. Doe je dat niet, dan verkoop je geen oplossing maar een probleem voor later.
Je benoemt dat het beste meteen in het eerste gesprek. Hoeveel mensen er realistisch tegelijk werken. Wat voor documenten, en hoe groot. Wie de eerste hulp biedt als er om kwart over zeven 's ochtends iets hapert. Wat het terugvalplan is als het kastje plat ligt. Met die vragen verlies je de deal niet; je wint er vertrouwen mee. De koper die dit serieus overweegt weet heus wel dat het beheer kost. Hij wil iemand tegenover zich die dat ook weet.
Twee deuren, dezelfde redenering
Dezelfde redenering past op twee heel verschillende koopprocessen. Aan de ene kant het gereguleerde middenbedrijf, waar NIS2 en compliance het inkoopgesprek bepalen en de aanbesteding letterlijk om opslag binnen de EU vraagt. Aan de andere kant het familiebedrijf dat geen toezichthouder boven zich heeft, maar wel het onderbuikgevoel dat dertig jaar opgebouwde kennis niet thuishoort onder de algemene voorwaarden van een Amerikaanse partij.
Voor beide is het verhaal hetzelfde. De allerbeste modellen worden gemeengoed. Wat ze kunnen verandert elk kwartaal en groeit naar elkaar toe. De zeggenschap over je eigen data wordt dat nooit. Wie de data houdt, houdt de controle. En daar zit het verschil.
Dat is het punt waarop een Europese partij structureel wint van een hyperscaler. Niet op modelkwaliteit, want dat gevecht verlies je. Wel op de vraag waar het document staat op het moment dat het antwoord ontstaat. Voor een groeiende groep mkb-kopers is dat de enige vraag die telt.
Benieuwd wat dit in jouw situatie betekent? Plan een korte verkenning of lees hoe ik AI-trajecten aanpak.
Benieuwd wat AI voor jouw bedrijf kan betekenen?
Doe de gratis AI Scan en ontdek het in 1 minuut.