🏛 Policymaker Edition Artikel 3 van 7

Alle edities · Policymaker Edition

Open high-country tussock under a wide skyYour Community, Your AI — CC BY 4.0

AI bij de grote techbedrijven en de soevereiniteitskwestie

Twee verschillende kwesties

Het begrip „soevereiniteit” omvat twee verschillende kwesties wanneer het in verband met AI wordt gebruikt, en een beleidsmaker die deze twee kwesties van elkaar onderscheidt, zal zich veel duidelijker over dit onderwerp uitspreken dan iemand die dat niet doet.

De eerste gaat over wiens patronen een systeem in zich draagt — de culturele en commerciële standaardinstellingen die het tijdens zijn training heeft opgenomen. De tweede gaat over wiens wetgeving erop van toepassing is — waar het systeem draait, wie de zeggenschap heeft over het bedrijf dat het exploiteert, en welke staat dat bedrijf kan dwingen tot handelen. De eerste vraag betreft kwaliteit en geschiktheid. De tweede vraag betreft de staat. Dit artikel gaat voornamelijk over de tweede vraag, omdat deze het vaakst door elkaar wordt gehaald en het gebied is waarop het beleid de grootste invloed kan uitoefenen. (Alle onbekende termen in deze reeks worden in begrijpelijke taal uitgelegd in de woordenlijst.)

Het structurele verschil

Laten we kort beginnen met de eerste vraag, omdat die de basis vormt voor de tweede.

Een systeem dat is getraind op het open internet — marketingteksten, sociale media, encyclopedie-artikelen, bedrijfsdiscours — is welbespraakt en breed geïnformeerd, maar de standaardinstellingen ervan worden gevormd door wat op het internet oververtegenwoordigd is: Engelstalige inhoud, commerciële kaders, individualistische aannames en de bedrijfscultuur van de technologie-industrie. Het vertegenwoordigt te weinig burger- en gemeentelijke taal, deliberatieve democratische praktijken, conventies inzake publieke verantwoording en de feitelijke verslagen van de instellingen van een bepaald land. Dit is geen tekortkoming die zomaar kan worden weggewerkt; het is structureel, omdat het karakter van het systeem wordt bepaald door de training, en die training vond plaats op het internet.

Een systeem dat daarentegen is gebaseerd op de eigen documenten van een organisatie – of een land – vertoont andere patronen. Het baseert zijn antwoorden op de daadwerkelijke notulen, besluiten en documenten die het heeft gekregen, niet op een statistisch gemiddelde van het web. Voor een overheidsinstantie is dat verschil van belang voor de kwaliteit van de output. Maar het beantwoordt op zichzelf niet de moeilijkere vraag — want een systeem dat is gebaseerd op uw eigen gegevens kan nog steeds draaien op infrastructuur die wordt beheerd door een bedrijf dat verantwoording aflegt aan een buitenlandse staat.

Het jurisdictieprobleem

Dit is het deel dat volledig tot het domein van het beleid behoort, en dat stelselmatig verkeerd wordt begrepen.

Verschillende belangrijke rechtsstelsels verlenen een staat zeggenschap over de gegevens en systemen van bedrijven die volgens zijn wetgeving zijn opgericht — waar ter wereld die gegevens zich ook fysiek bevinden. Drie daarvan zijn het vermelden waard, niet als beschuldigingen tegen een bepaalde leverancier, maar als categorieën van risico’s die een wetgever moet begrijpen:

Dit zijn geen exotische uitzonderingsgevallen. Het is de normale rechtsgang in de rechtsgebieden waar het grootste deel van ’s werelds toonaangevende AI-capaciteit wordt opgebouwd en beheerd. En ze leggen een principe vast dat een beleidsmaker in één zin zou moeten kunnen verwoorden:

Toegang tot gegevens volgt de zeggenschap van het bedrijf, niet de fysieke locatie.

Een datacentrum binnen uw landsgrenzen, geëxploiteerd door een in het buitenland gevestigde onderneming, plaatst de gegevens niet buiten het bereik van de buitenlandse staat waarvan de wetgeving op die onderneming van toepassing is. Het gebouw staat hier; de jurisdictie niet.

Er is een tweede, daarmee samenhangend risico dat een wetgever naast het eerste in ogenschouw moet nemen. Toegang tot een capaciteit waarvan een openbare dienst afhankelijk is geworden, kan door een buitenlandse autoriteit worden gekoppeld aan voorwaarden, beperkt of ingetrokken — via exportcontroles, sancties of een wijziging in de eigen voorwaarden van een bedrijf — zonder toestemming van het afhankelijke land. Afhankelijkheid van een capaciteit waarover je geen controle hebt, is een strategisch risico, ongeacht of er ooit een specifiek incident plaatsvindt. Dit is een structureel punt, dat geldt ongeacht welke leverancier erbij betrokken is.

Gegevenslocatie is geen gegevenssoevereiniteit

Dit is het onderscheid dat het meest de moeite waard is om uit dit artikel mee te nemen, omdat het het vaakst over het hoofd wordt gezien in de marketing van leveranciers en, soms, in officiële taal.

Gegevenslocatie is een kwestie van waar de servers zich bevinden. Een toezegging dat gegevens in het eigen land worden opgeslagen, is een toezegging inzake gegevenslocatie.

Gegevenssoevereiniteit is een kwestie van wiens autoriteit zeggenschap heeft over de gegevens — wie de openbaarmaking ervan kan afdwingen, wie de regels voor het gebruik ervan vaststelt, wie de toegang ertoe kan blokkeren. Soevereiniteit vereist zowel opslag in eigen land als dat de wetgeving die op de gegevens van toepassing is, binnenlands blijft.

Opslag binnen het land zonder soevereiniteit is een prettig klinkende halve maatregel. Als de gevoelige informatie van een land op servers binnen zijn grenzen staat, maar onder controle is van een bedrijf dat een buitenlandse staat wettelijk kan dwingen, is aan de voorwaarde van opslag binnen het land voldaan en blijft de kwestie van soevereiniteit ongemoeid. Een beleidsmaker die deze twee begrippen door elkaar haalt, zal toezeggingen accepteren die niet opleveren wat ze lijken te beloven. Het onderscheid tussen de termen behouden is de allerbelangrijkste discipline op dit gebied.

Het argument is leveranciersonafhankelijk

Het zou gemakkelijk zijn om de voorgaande paragrafen te interpreteren als een pleidooi om leveranciers uit het ene land te verkiezen boven die uit een ander land — om een Amerikaanse leverancier in te ruilen voor een Europese, of om een Chinese te vermijden. Dat is niet het argument, en een beleidsmaker die het zo voorstelt, zal het beleid verkeerd aanpakken.

Elke grote leverancier is opgericht volgens de wetgeving van een bepaalde staat, en elke dergelijke staat beschikt over, of kan wetgeving aannemen die vergelijkbaar is met de hierboven genoemde maatregelen. Het risico hangt niet samen met een bepaalde vlag; het hangt samen met het feit dat men afhankelijk is van een capaciteit waarover een andere jurisdictie dan de eigen jurisdictie zeggenschap heeft. Het vervangen van buitenlandse leverancier A door buitenlandse leverancier B verandert alleen maar welke staat de zeggenschap heeft. Het verandert niets aan het feit dat die zeggenschap in het buitenland ligt.

De zinvolle beleidsvraag is dus niet welke buitenlandse leverancier vertrouwen we?, maar hoe houden we het beheer en de controle in eigen land? — en dat is een vraag over architectuur en aanbestedingen, niet over de loyaliteit van leveranciers. Deze vraag kan worden beantwoord met regels waaraan elke leverancier vrijelijk kan voldoen: toetsingen om vast te stellen waar een model daadwerkelijk draait en onder wiens wetgeving het valt; eisen dat gevoelige gegevens en afgeleide gegevens binnen het binnenlandse rechtsgebied blijven; en normen voor documentatie waarmee een overheidsinstantie kan reconstrueren wat een AI-systeem heeft gedaan, onafhankelijk van de leverancier die het heeft geleverd. In geen van deze gevallen wordt een bepaald bedrijf bevoordeeld. Dit alles houdt de beslissing waar die thuishoort — bij het land, niet bij de leverancier.

Voor een kleine economie is deze benadering ook de meest betaalbare. Het volledig in eigen bezit hebben van de chips, de datacenters en de geavanceerde modellen ligt buiten bereik. Het behouden van bevoegdheid, beheer en controle over gegevens en beslissingen is dat niet — het is grotendeels een kwestie van regels en normen, en het staat open voor elke overheid die bereid is deze op te stellen. Artikel 5 beschrijft hoe die regels eruit zouden kunnen zien, gepresenteerd als een keuzemenu in plaats van een voorschrift.

Wat dit betekent voor de wetgever

De soevereiniteitskwestie wordt niet opgelost door te vragen of een AI-systeem krachtig is, of zelfs door te vragen of het nauwkeurig is. Ze wordt opgelost door drie eenvoudigere vragen te stellen, die een beleidsmaker aan elk voorstel kan stellen zonder dat daarvoor technische achtergrondkennis nodig is:

Een systeem dat deze vragen goed beantwoordt, is wellicht beperkter dan het grootste commerciële aanbod. Voor een staat is dat de juiste afweging. Ruwe capaciteit waarover een land geen verantwoording kan afleggen en waarop het niet kan vertrouwen dat het die behoudt, is voor het land minder waard dan een capaciteit – zelfs een bescheidenere – die onder zijn eigen gezag blijft wanneer de druk toeneemt.

Het volgende artikel verschuift de aandacht van waar AI wordt gereguleerd naar hoe — en naar de reden dat vrijwillige principes, hoe goed ze ook zijn opgesteld, op zichzelf niet voldoende zijn.


Wilt u dit soort AI-tools goed en veilig gebruiken? Onze gratis cursussen — Werken met Claude en Agents at Work — leren u de praktische vaardigheden, van het verkrijgen van betrouwbare antwoorden tot het bepalen wat u aan een agent moet toevertrouwen. Zie Village AI — Agentic Governance voor de volledige technische architectuur achter Village AI.

Nuttig? Deel dit artikel of laat een QR-code zien om te scannen.