Gegevenssoevereiniteit: waarom Europese bedrijven AI intern houden

Het grootste deel van het afgelopen decennium werd de vraag waar bedrijfsgegevens fysiek stonden beschouwd als een IT-aangelegenheid, geregeld door welk cloudniveau de beste prijs-prestatieratio bood. Dat kader verandert snel. Een golf van regelgevingsdruk, geopolitieke wrijving en spraakmakende handhavingsacties heeft gegevensverblijfplaats — en het verwante concept van gegevenssoevereiniteit — op de agenda gebracht van risicocommissies en, steeds vaker, raden van bestuur. Nergens is deze verschuiving uitgesproken als in Europa, en nergens is ze consequenter dan in beslissingen over kunstmatige intelligentie-infrastructuur.

Wat gegevenssoevereiniteit werkelijk betekent

Gegevenssoevereiniteit is het principe dat gegevens onderworpen zijn aan de wetten en governancekaders van de natie of jurisdictie waar ze worden verzameld of verwerkt. Het is onderscheiden van — hoewel gerelateerd aan — gegevensverblijfplaats, die simpelweg beschrijft waar gegevens worden opgeslagen. Een dataset kan op servers in Frankfurt staan terwijl het juridisch toegankelijk blijft voor een buitenlandse regering onder extraterritoriale wetgeving. Echte soevereiniteit vereist zowel fysieke locatie als juridische controle: de organisatie die de gegevens beheert moet de enige entiteit zijn die toegang daartoe kan verlenen.

Extraterritoriale wetten en de transatlantische breuklijn

De spanning die Europese gedachten het scherpst concentreert, is het conflict tussen EU-gegevensbeschermingsrecht en Amerikaanse extraterritoriale statuten. De CLOUD Act, aangenomen in 2018, stelt Amerikaanse wetshandhaving in staat om in de VS gevestigde providers — inclusief hun buitenlandse dochterondernemingen en cloudregio's — te dwingen gegevens te verstrekken, ongeacht waar ze zijn opgeslagen. Vergelijkbare bepalingen bestaan in de juridische kaders van meerdere andere grote jurisdicties. De consequentie is duidelijk: een Europees bedrijf dat gevoelige gegevens verwerkt op infrastructuur beheerd door een provider met een Amerikaanse moedermaatschappij, heeft mogelijk geen juridische garantie dat zijn gegevens niet kunnen worden ingezien door een buitenlandse autoriteit zonder zijn medeweten of toestemming.

Gegevens opslaan in een Europese regio van een Amerikaanse hyperscaler maakt die gegevens niet soeverein. Het maakt ze geografisch nabij maar juridisch blootgesteld.

Sectordruk: financiën, gezondheid en de publieke sector

Hoewel het probleem alle sectoren treft, staan drie sectoren voor bijzonder acuut druk. Financiële instellingen die opereren onder DORA (de Digital Operational Resilience Act) moeten aantonen dat externe ICT-providers, inclusief cloudplatforms, voldoen aan strenge concentratie- en toegangsrisiconormen — een verplichting die moeilijk te vervullen is wanneer de provider onderworpen is aan buitenlands recht. Zorginstellingen die patiëntgegevens verwerken onder nationale implementaties van eHealth-richtlijnen staan voor vergelijkbare beperkingen, verergerd door sectorspecifieke gevoeligheid. Overheidsinstanties en defensiegerelateerde aannemers in meerdere lidstaten is nu expliciet verboden bepaalde categorieën gegevens te verwerken op niet-EU-gecontroleerde infrastructuur.

• Financiën: DORA concentratierisico en ICT-vereisten voor toezicht op derde partijen.
• Gezondheidszorg: verplichtingen voor lokalisatie van patiëntgegevens onder nationale eHealth en AVG-bepalingen.
• Publieke sector: nationale veiligheidsclassificaties die buitenlandse cloudproviders verbieden voor gevoelige workloads.
• Juridische en professionele diensten: regels over advocaat-cliëntprivilege en beroepsgeheim die per jurisdictie verschillen.
• Kritieke infrastructuur: verplichtingen uit de NIS2-richtlijn voor operators van essentiële diensten.

Hoe on-premise en in de EU gehoste privé-AI soevereiniteit levert

De schoonste architectonische respons op soevereiniteitszorgen is AI-inferentie en -training te draaien op infrastructuur die zowel fysiek in de EU staat als beheerd wordt door een entiteit die niet onderworpen is aan extraterritoriale buitenlandse wetgeving. On-premise implementatie — waarbij het model draait op servers in het eigen datacenter of colocatiefaciliteit van de organisatie — elimineert de toegangsvector van derden volledig. Geen API-aanroep verlaat het gebouw. Geen query wordt gelogd door een externe provider. Geen modelupdate vereist het upstream sturen van gegevens. Privonis implementeert open-gewicht modellen op clienthardware en configureert de volledige inferencestack — van GPU-stuurprogramma's tot de toepassings-API — zodat de client een soeverein AI-systeem beheert, geen abonnement erop.

Een praktische soevereiniteitschecklist

Voordat een AI-implementatie wordt goedgekeurd, moeten Europese organisaties in staat zijn ja te antwoorden op elk van de volgende vragen. Als een antwoord onzeker is, verdient de architectuur een tweede blik.

• Draait elk onderdeel van de AI-stack — model, inferentie-engine, datapipeline — op hardware die u beheert of die uitsluitend wordt beheerd door een in de EU gevestigde, naar EU-recht onderworpen entiteit?
• Kunt u uw gegevensbeschermingsautoriteit een volledig overzicht geven van waar elke gegevenscategorie wordt verwerkt en door wie?
• Is de modelverkoper onderworpen aan buitenlandse wetgeving die openbaarmaking van uw queries of outputs kan afdwingen?
• Beschikt u over een lokale kopie van de modelgewichten, of bent u afhankelijk van een provider-API die kan worden beëindigd of opnieuw geprijsd?
• Heeft uw juridische team de servicevoorwaarden van elk onderdeel in de stack beoordeeld op gegevensgebruiksclausules en trainingsclausules?
• Kunt u via technische controles, in plaats van contractuele beloften, aantonen dat geen querygegevens buiten uw jurisdictie worden verzonden?

Gegevenssoevereiniteit is geen compliance-selectievakje dat eenmalig wordt afgevinkt. Het is een voortdurende architectuurdiscipline. Naarmate AI ingebed raakt in kernbedrijfsprocessen — documentanalyse, klantinteractie, beslissingsondersteuning — wordt de soevereiniteit van de AI-laag onscheidbaar van de soevereiniteit van de onderliggende gegevens. Privonis bestaat om die discipline praktisch te maken voor Europese organisaties: de juiste open modellen, draaiend op de juiste infrastructuur, onder volledige clientcontrole.