BRANCHE
Datasoevereiniteit in 2026: waarom on-prem en geïsoleerde AI van voorkeur naar plan ging
2 min lezen
De klok van de EU AI Act, de doorgifteregels van de AVG en het CLOUD Act-gat hebben “waar je AI draait” veranderd in een juridische vraag, niet alleen een architectuurvraag.
Lange tijd was “waar draait de AI” een technisch detail. In 2026 is het een compliancevraag met data eraan vast.
De wettelijke klok is echt
De EU AI Act trad op 1 augustus 2024 in werking en geldt gefaseerd: verboden praktijken sinds 2 februari 2025, verplichtingen voor general-purpose AI sinds 2 augustus 2025, en de meeste hoog-risicoverplichtingen vanaf 2 augustus 2026. Wat je nu uitrolt, leeft binnen die tijdlijn.
Wat de AVG werkelijk vereist
Het helpt om precies te zijn over de basis. De AVG vereist niet dat persoonsgegevens fysiek binnen de EU worden opgeslagen. Wat ze regelt, is hoe data de EER verlaat: je hebt een grondslag nodig zoals een adequaatheidsbesluit of passende waarborgen (modelcontractbepalingen), plus een transfer impact assessment. De adder onder het gras, na het Schrems II-arrest van het Hof van Justitie, is dat waarborgen op papier een conflict met een buitenlandse surveillancewet niet kunnen wegnemen — en precies daar bijt het volgende punt.
Het gat dat geen contract dicht
Onder de Amerikaanse CLOUD Act en FISA Section 702 kan een Amerikaanse provider rechtmatige verzoeken om data krijgen, zelfs als die in een “EU-regio” staat — iets wat Microsoft in juni 2025 onder ede aan de Franse Senaat toegaf. Het label “soeverein” van een buitenlandse cloud verkleint de blootstelling; het verwijdert de juridische toegangsvector niet. On-prem en geïsoleerde implementatie wel, omdat de data om te beginnen nooit in een buitenlands beheerd systeem terechtkomt.
Zeg wat je met “geïsoleerd” bedoelt
Eén eerlijkheidsnoot. “Geïsoleerd” betekent meestal een gescheiden netwerk met gecontroleerde uitgang; “air-gapped” betekent helemaal geen route van het systeem af. Dat zijn verschillende risicoprofielen, en ze door elkaar halen is een geloofwaardigheidsfout. Wees precies over wat je koopt.
Arpanet is zo gebouwd dat het antwoord “binnen je eigen perimeter” kan zijn: on-prem, volledig geïsoleerd of in de cloud — jouw keuze. Het platform is vanaf de eerste regel code op de AVG ontworpen, en soevereiniteit is een instelling, geen upsell.