Er is één patroon dat ik zie bij veel softwarebedrijven als het gaat over AI-infrastructuur. Ze praten over soevereiniteit, maar handelen op pragmatisme. En dat pragmatisme is begrijpelijk. Als je snel wil bewegen, wil je de beste AI-modellen, de beste schaalbaarheid van cloud platforms.
Maar er is een verschil tussen pragmatisme en afhankelijkheid. En voor een platform als Blinqx dat opereert in sectoren als legal, hypotheek en accountancy – sectoren die draaien op vertrouwelijke klantdata, werken binnen strenge compliance-kaders en verantwoordelijk zijn voor beslissingen die mensen direct raken – is dat onderscheid een strategisch vraagstuk.
Drie vragen over datasoevereiniteit in je AI-infrastructuur
Datasoevereiniteit is een groot woord. In de praktijk komt het neer op drie vragen die elke leverancier van een AI-platform in deze sectoren helder moet kunnen beantwoorden.
1. Waar wordt data opgeslagen en verwerkt?
GDPR is duidelijk: persoonsgegevens van Europese burgers moeten worden verwerkt onder Europese regelgeving. Maar de letter van de wet is niet de enige reden.
Een juridisch dossier dat wordt verwerkt op servers buiten Europa valt mogelijk onder buitenlandse wetgeving. Inclusief wetgeving die overheden toegang kan geven zonder dat de betrokkene daar weet van heeft. Dat is voor een advocaat, een accountant of een hypotheekadviseur geen theoretisch risico. Dat is een concreet probleem voor hun zorgplicht.
Weten waar data staat is daarom niet alleen een compliance-checkbox. Het is de basis van de verantwoording die een professional verschuldigd is aan zijn klant.
2. Welke AI-modellen verwerken klantdata, en onder welke voorwaarden?
Dit is de vraag die de meeste platformleveranciers het liefst vaag houden. Want het eerlijke antwoord is complex.
De krachtigste AI-modellen worden aangeboden door Amerikaanse techbedrijven. Hun voorwaarden rondom dataretentie, training op ingediende data en toegang door derden variëren en zijn niet altijd transparant. Wie klantdata van een juridisch of financieel dossier door zo’n model stuurt zonder die voorwaarden goed te kennen, neemt een risico dat zijn klant niet kent en niet heeft geaccepteerd.
Denk aan een hypotheekdossier dat automatisch wordt geanalyseerd door een extern model, zonder dat duidelijk is waar die data terecht komt.
Bij Blinqx kiezen we per use case bewust. Er zijn taken waarvoor Europese modellen beschikbaar zijn die voldoende kwaliteit bieden. Er zijn taken waarbij we de beste beschikbare tool inzetten, maar dan met expliciete kaders: geen retentie van klantdata, geen gebruik voor modeltraining, verwerking binnen Europese infrastructuur waar mogelijk.
Daarom ontwerpen wij AI als onderdeel van de workflow, met expliciete keuzes per stap in plaats van één generieke integratie. Het gebruik van een krachtig extern model voor een specifieke taak is iets anders dan het structureel wegsluizen van klantdata naar platforms waarover je geen controle hebt. Die nuance is essentieel. En het is precies de nuance die een platformleverancier zijn klanten verschuldigd is om transparant te maken.
3. Wat gebeurt er als de geopolitieke situatie verandert?
Dit was twee jaar geleden nog een hypothetische vraag. Vandaag niet meer.
De discussie over de afhankelijkheid van Europese bedrijven van Amerikaanse cloud- en AI-infrastructuur is reëel en urgent. Platformleveranciers die hun volledige infrastructuur hebben gebouwd op één hyperscaler of één modelaanbieder, zijn kwetsbaar. Niet per se vandaag, maar de vraag is of je je klanten over vijf jaar nog kunt garanderen wat je ze nu belooft.
Voor professionals in legal, finance en hypotheek is continuïteit geen nice-to-have. Het zijn mission critical processen. Een adviseur die zijn klantdossiers niet kan bereiken, een jurist die zijn contractomgeving kwijt is, een accountant wiens administratietool offline staat. Dat zijn geen acceptabele scenario’s.
Een robuuste AI-infrastructuur is daarom per definitie een gediversifieerde infrastructuur. Niet afhankelijk van één partij, niet kwetsbaar voor één geopolitieke ontwikkeling.
Kijk ernaar als strategisch vraagstuk
Het zou makkelijk zijn om soevereiniteit te framen als een compliance vraagstuk. Maar dat is niet hoe we er bij Blinqx naar kijken.
Het is een strategisch vraagstuk dat past bij de sectoren waar we in opereren. Een advocaat die een klant vertegenwoordigt, een accountant die een jaarrekening ondertekent, een hypotheekadviseur die iemands grootste financiële beslissing begeleidt – die professionals stellen als randvoorwaarde dat een AI-platform hun vertrouwelijke data serieus neemt.
Kortom; in deze sectoren is vertrouwen geen abstract begrip. Het is de basis waarop klanten beslissen of jouw oplossing de juiste is.
Veelgestelde vragen
Data governance is het geheel van beleid, processen en verantwoordelijkheden rondom hoe data wordt verzameld, opgeslagen, gebruikt en beschermd. Bij AI is het extra belangrijk omdat AI-systemen data op nieuwe manieren verwerken en niet altijd op transparante wijze. In gereguleerde sectoren bepaalt data governance of AI verantwoord en compliant kan worden ingezet.
De AVG is de basiswet voor alle verwerking van persoonsgegevens. Daarnaast gelden sectorspecifieke kaders: de Wft voor financieel intermediairs, de Advocatenwet en geheimhoudingsplicht voor advocaten, NBA-richtlijnen voor accountants en de AI Act voor systemen die invloed hebben op arbeidsrechtelijke beslissingen in HR. Deze kaders gelden ook als AI de verwerking (deels) uitvoert.
Niet zonder expliciete grondslag en ,in de meeste gevallen, zonder toestemming van de betrokkenen. Als verwerker in de zin van de AVG mag een AI-leverancier data uitsluitend gebruiken voor de doelen die zijn vastgelegd in de verwerkersovereenkomst. Gebruik voor modeltraining valt daar standaard niet onder. Controleer dit altijd contractueel voordat je een tool in gebruik neemt.
Door traceerbaarheid als ontwerpeis mee te geven aan AI-leveranciers en interne ontwikkelaars. Elk AI-systeem dat een rol speelt in een beslissing moet kunnen tonen welke data als input is gebruikt, welke redenering is gevolgd en hoe zeker het systeem was van de uitkomst. In gereguleerde sectoren is dit niet alleen best practice. Het is een vereiste die toezichthouders en klanten steeds vaker expliciet stellen.
Start met een inventarisatie: welke AI-tools zijn in gebruik, welke data verwerken ze, en zijn de bijbehorende verwerkersovereenkomsten actueel en inhoudelijk correct? Dat geeft direct inzicht in waar de grootste risico’s zitten. Stel daarna een intern kader op. Welke tools zijn goedgekeurd, onder welke voorwaarden, en wie is verantwoordelijk. Data governance hoeft niet perfect te zijn om te beginnen, maar wachten totdat het misgaat is in gereguleerde omgevingen geen optie.
