NoveuNOVEU
InloggenDemo aanvragen →
Terug naar blog
AI2026-01-107 min leestijd

Wat is Sovereign AI en waarom is het belangrijk?

Kunstmatige intelligentie transformeert de manier waarop organisaties werken. Maar voor overheden, zorginstellingen en andere organisaties die met gevoelige data werken, brengt het gebruik van commerciële AI-diensten als ChatGPT, Microsoft Copilot of Google Gemini een fundamenteel probleem met zich mee: de data verlaat uw controle. Sovereign AI biedt een alternatief.

Wat is AI-soevereiniteit?

AI-soevereiniteit — of Sovereign AI — betekent dat een organisatie volledige controle heeft over drie aspecten van haar AI-gebruik:

**1. Data** — De gegevens die worden gebruikt voor training, fine-tuning en inference verlaten nooit de eigen infrastructuur en vallen uitsluitend onder de eigen jurisdictie.

**2. Modellen** — De taalmodellen draaien op eigen of Europese hardware. Er is geen afhankelijkheid van een Amerikaans platform dat eenzijdig toegang kan beperken, voorwaarden kan wijzigen of data kan inzien.

**3. Inference** — Het daadwerkelijke verwerkingsproces (het stellen van vragen aan het model en het genereren van antwoorden) vindt plaats op dedicated hardware binnen de eigen omgeving.

Het probleem met commerciële AI-diensten

Wanneer een ambtenaar een beleidsdocument samenvat met ChatGPT, of een arts een patiëntbrief laat herschrijven door Microsoft Copilot, gebeurt er iets fundamenteels: de volledige inhoud van dat document wordt verstuurd naar servers van een Amerikaans bedrijf.

Bij OpenAI (ChatGPT) worden prompts verwerkt op servers in de VS. Bij Microsoft Copilot vindt verwerking plaats binnen het Microsoft 365-ecosysteem, dat onder de CLOUD Act valt. Bij Google Gemini geldt hetzelfde onder Amerikaanse jurisdictie.

Voor publieke organisaties is dit problematisch om meerdere redenen: - De AVG (GDPR) vereist een geldige grondslag voor doorgifte van persoonsgegevens naar derde landen - NIS2 stelt eisen aan de beveiliging van netwerk- en informatiesystemen, inclusief AI-componenten - De BIO vereist controle over de verwerking van overheidsinformatie - De EU AI Act stelt aanvullende eisen aan AI-systemen die worden ingezet bij overheids-besluitvorming

De EU AI Act en de publieke sector

De Europese AI-verordening (EU AI Act), die gefaseerd van kracht wordt vanaf 2024, classificeert AI-toepassingen in risicocategorieën. Voor de publieke sector zijn met name de categorieën 'hoog risico' en 'onaanvaardbaar risico' relevant.

AI-systemen die worden gebruikt voor besluitvorming over burgers — denk aan uitkeringsaanvragen, vergunningen, of risicoprofilering — vallen onder 'hoog risico' en moeten voldoen aan strenge eisen voor transparantie, menselijk toezicht, en documentatie. Het gebruik van een ondoorzichtige, Amerikaans gehoste AI-dienst voor deze toepassingen is daarmee praktisch uitgesloten.

Wat is een Private RAG-pipeline?

RAG staat voor Retrieval-Augmented Generation. Het is een architectuur waarbij een taalmodel wordt gecombineerd met een eigen kennisbank. In plaats van te vertrouwen op de algemene kennis van het model, haalt het systeem eerst relevante documenten op uit uw eigen database en gebruikt deze als context voor het genereren van een antwoord.

Een Private RAG-pipeline werkt als volgt: 1. Uw documenten worden geïndexeerd en opgeslagen in een vector database op eigen infrastructuur 2. Wanneer een gebruiker een vraag stelt, doorzoekt het systeem eerst de eigen kennisbank 3. De meest relevante documenten worden als context meegegeven aan het taalmodel 4. Het taalmodel genereert een antwoord op basis van uw eigen bronnen 5. Alles — de vector database, het taalmodel, de verwerking — draait op eigen of Europese hardware

Het resultaat is een AI-assistent die antwoorden geeft op basis van uw eigen beleidsdocumenten, handleidingen of kennisbank, zonder dat er data naar externe partijen wordt gestuurd.

Sovereign inference: dedicated GPU op Europese hardware

Het draaien van taalmodellen vereist krachtige hardware, met name GPU's (Graphics Processing Units). Bij sovereign inference worden dedicated GPU's ingezet op servers die fysiek in Europa staan, eigendom zijn van een Europese partij, en uitsluitend onder Europese jurisdictie vallen.

Dit is een fundamenteel verschil met het huren van GPU-capaciteit bij Amerikaanse hyperscalers als AWS, Azure of Google Cloud. Zelfs als hun servers in Europa staan, vallen zij onder Amerikaanse jurisdictie via de CLOUD Act.

Open-source modellen zoals Llama, Mistral en Qwen maken het mogelijk om krachtige taalmodellen te draaien zonder afhankelijkheid van propriëtaire diensten. Deze modellen kunnen worden gefinetuned op domeinspecifieke data — bijvoorbeeld Nederlandse wet- en regelgeving, gemeentelijke processen, of medische richtlijnen — waardoor ze relevantere antwoorden geven dan een generiek model.

Waarom dit nu relevant is

De convergentie van drie ontwikkelingen maakt sovereign AI urgent: - De EU AI Act verplicht transparantie en controle over AI-systemen in de publieke sector - NIS2 en de AVG beperken de mogelijkheden om gevoelige data te verwerken op niet-Europese infrastructuur - Open-source AI-modellen zijn inmiddels krachtig genoeg om commerciële alternatieven te bieden voor de meest voorkomende toepassingen

Conclusie

Sovereign AI is geen luxe of toekomstmuziek. Het is de logische consequentie van bestaande regelgeving toegepast op een nieuwe technologie. Organisaties die nu investeren in eigen AI-infrastructuur op Europese bodem, bouwen niet alleen aan compliance maar ook aan een duurzaam concurrentievoordeel. De vraag is niet of u sovereign AI nodig hebt, maar of u het zich kunt veroorloven om het niet te hebben.

Meer weten?

Ontdek hoe Noveu je kan helpen met compliance en digitale soevereiniteit.

Neem contact op