BRANCHE
Soevereine AI voor gereguleerde sectoren: wanneer on-prem geen optie meer is
2 min lezen
Financiën, zorg en de publieke sector krijgen steeds vaker te maken met harde dataresidentie-eisen. Zo sluit on-prem en geïsoleerde AI aan op DORA, de EU AI Act en de European Health Data Space.
In gereguleerde sectoren is “waar de AI draait” zelden een voorkeur. Het staat in het toezicht geschreven.
Financiën: residentie door regelgeving
In de EU geldt DORA — de Digital Operational Resilience Act — sinds 17 januari 2025, met streng ICT-derdepartijrisicobeheer en een register van providers. Nederlandse toezichthouders DNB en AFM hebben gewezen op concentratierisico door te leunen op een paar niet-EU IT-providers, wat bedrijven richting soevereine en on-prem hosting duwt. Andere rechtsgebieden gaan nog verder — de Turkse bankentoezichthouder eist dat banken originele data in eigen land houden — maar de EU-richting is al duidelijk: voor een gereguleerde onderneming wordt “stuur de data naar de cloud van iemand anders” steeds moeilijker te verdedigen.
Zorg en de publieke sector
Zorgdata beweegt dezelfde kant op: de verordening European Health Data Space trad op 26 maart 2025 in werking en houdt patiëntdata binnen de nationale zorginfrastructuur onder toegangsvergunningsregimes. Ook publieke aanbestedingen neigen naar soevereine en on-prem opties. De rode draad is dat de data te gevoelig is — of te gereguleerd — om het gebouw te verlaten.
De AI Act zit erbovenop
Over dit alles loopt de EU AI Act, waarvan de hoog-risicoverplichtingen tot 2 augustus 2026 gefaseerd ingaan en plichten brengen rond datagovernance, logging en traceerbaarheid. Een gecontroleerde, on-prem implementatie maakt die plichten makkelijker te auditen, omdat de hele datastroom binnen één grens zit die je kunt inspecteren.
Wees eerlijk over de kosten
On-prem is hier de veilige standaard, maar niet gratis. Modellen zelf draaien betekent echte rekenkracht, de volledige lokale retrieval-en-inferentiestack, en de operationele discipline om systemen te patchen die niet naar huis bellen. Het punt is niet dat on-prem goedkoop is; het is dat het voor gereguleerde workloads vaak de enige optie is die de toets doorstaat.
Voor gereguleerde workloads is soevereiniteit geen functie die je op het eind toevoegt — het is de vorm van de architectuur.
Arpanet is voor die vorm gebouwd: onze eigen modellen, onze eigen gateway, en implementatie on-prem, geïsoleerd of in de cloud — vanaf het ontwerp op de AVG gebouwd, zodat het compliance-verhaal de architectuur is en geen toevoeging achteraf.