We vertrouwen AI met onze data: hoe verstandig is dat?

In dit artikel:

Onze digitale autonomie staat onder druk omdat we steeds meer vertrouwelijke gegevens toevertrouwen aan AI-diensten die vaak buiten Europese rechtsmacht vallen. Door de Amerikaanse CLOUD Act kan de Amerikaanse overheid bijvoorbeeld data opvragen bij bedrijven als Microsoft, Amazon en Google, zelfs wanneer die gegevens in Europese datacenters opgeslagen zijn. Wat ooit een keuze voor gemak was, is daarmee een kwestie van soevereiniteit en vertrouwen geworden.

Europa reageert zowel juridisch als strategisch: de AI Act (geaccepteerd in augustus 2024) legt verplichtingen op rond transparantie en risicobeoordeling, terwijl de Europese Commissie via twee sporen — ‘Apply AI’ en ‘AI in Science’ — zowel adoptie als onderzoek en infrastructuur wil stimuleren. Maar wetgeving alleen verandert nog geen praktijk: veel organisaties weten niet precies waar hun data staat of wie er toegang toe heeft.

Tegelijkertijd ontstaan er in Europa alternatieven voor Amerikaanse AI-aanbieders. Start-ups zoals Mistral, Aleph Alpha en de Europese tak van Hugging Face bouwen modellen en diensten die meer aansluiten op Europese waarden: dataminimalisatie, privacy en transparantie. Mistral werkt bijvoorbeeld met Europese datacenters en geeft meer openheid over modelarchitectuur, maar heeft nog afhankelijkheden (subprocessors buiten de EU) en moet zijn audits bewijzen. Vertrouwen in deze nieuwe spelers vergt tijd en samenwerking.

De kloof tussen beleid en praktijk is zichtbaar in cijfers en rapporten. Volgens het CBS gebruikte in 2024 ongeveer 23% van de Nederlandse bedrijven AI; bij grote ondernemingen lag dat rond 60%. Een recent rapport (Unlocking Europe’s AI Potential – Netherlands Edition 2025) meldt dat in 2025 al 49% van de Nederlandse bedrijven AI inzet — een sterke stijging in één jaar. De Rekenkamer signaleert bij de rijksoverheid veel experimentele AI-toepassingen, waarvan een aanzienlijk deel nog niet operationeel of onvoldoende gecontroleerd is. De Autoriteit Persoonsgegevens waarschuwt voor ongecontroleerde datastromen.

Gemeenten en organisaties nemen daarom soms eigen maatregelen: Amsterdam verbood tijdelijk generatieve AI-tools zoals ChatGPT en Copilot totdat zekerheid over dataveiligheid en transparantie bestond. Andere overheden kiezen voor private AI-oplossingen die binnen gecontroleerde infrastructuren (eigen datacenters of Nederlandse cloud) draaien, zodat zij volledige zeggenschap over data en modellen behouden.

Vooruit tekent het artikel drie mogelijke scenario’s voor Europa: (1) versnelde adoptie door investeringen en samenwerking, (2) gefragmenteerde groei met een ‘two-speed Europe’, en (3) vertraging omdat wet- en regelgeving en kosten vooral kleinere spelers kunnen afschrikken. Welke route het wordt, hangt af van concrete keuzes nu: welke infrastructuur organisaties inzetten, welke waarborgen ze eisen en hoe transparant ze zijn over datastromen.

Herstel van digitale soevereiniteit vraagt samenwerking tussen bedrijven, overheden en leveranciers. Praktische stappen zijn onder meer: bewust kiezen voor Europese of afgeschermde infrastructuur, eisen van transparantie en auditbaarheid van aanbieders, en investeren in gezamenlijke Europese infrastructuur en kennisopbouw. Alleen zo kan Europa meer controle over zijn data en technologische toekomst terugwinnen — en het vertrouwen herstellen dat noodzakelijk is om AI op verantwoorde wijze te benutten.