AI-soevereiniteit gaat verder dan een eigen chatbot, maar waar begin je?

AI-soevereiniteit draait vooral om de vraag: hoe zorg je ervoor dat je processen blijven functioneren, ook als een externe schakel wegvalt of verandert? Dit speelt natuurlijk ook bij andere afhankelijkheden, zoals van cloudproviders, maar het vraagstuk is bij AI-systemen extra kritisch. Organisaties die AI adopteren, worden vaak nog afhankelijker van AI om winstgevend en betrouwbaar te kunnen functioneren. Hierdoor zijn de risico’s moeilijker te overzien en is extra aandacht nodig voor eigenaarschap, controle en risicomanagement.

Ook zien we aan de gebruikerszijde dat de ambitie om AI te adopteren bij veel organisaties zo groot is dat die risico’s onvoldoende aandacht krijgen. Neem bijvoorbeeld de implementatie van een chatbot. Zo’n systeem wordt vaak gebouwd met modellen en infrastructuur van externe partijen. Dat werkt prima zolang alles beschikbaar blijft, maar wat gebeurt er als een leverancier zijn voorwaarden aanpast of een dienst stopzet? Daar hebben bedrijven vaak nog geen beleid voor ontwikkeld. Zelfs bij zelfgebouwde AI-oplossingen zijn er vaak nog afhankelijkheden van derden.

Hoe ver wil je gaan?

AI-soevereiniteit kent geen ‘one size fits all’-aanpak. Voor een reclamebureau kan het geen probleem zijn dat AI-tools eigendom zijn van een externe partij. Voor een ziekenhuis, waar artsen taalmodellen gebruiken voor medisch advies, is het belangrijker dat AI-processen controleerbaar en uitlegbaar zijn.

Het draait om risicomanagement en bewuste keuzes: wat houden we in eigen beheer, waarvoor werken we met externe partijen, en wie zijn dat? Belangrijke vragen zijn:

• Data: waar staan onze data, onder welke jurisdictie vallen ze en wie heeft er toegang toe?
• Algoritmen: welke AI-modellen gebruiken we, hoe uitlegbaar zijn ze, en wie heeft het intellectueel eigendom?
• Leveranciers: van welke partijen zijn we afhankelijk en wat zijn de risico’s hiervan?
• Compliance: hoe borgen we naleving van wet- en regelgeving, zoals de EU AI Act, en onze eigen ethische standaarden?
• Kernprocessen: welke processen en data zijn zo strategisch dat we altijd zelf de regie willen houden?
• Continuïteit: kunnen onze processen doorgaan als één schakel in het ecosysteem uitvalt?

Praktische adviezen voor IT-managers

Nu duidelijk is welke strategische vragen je jezelf kunt stellen, is de volgende stap: hoe ga je concreet aan de slag? AI-soevereiniteit is geen eindpunt, maar een continu proces van risicomanagement. De volgende adviezen helpen je op weg:

• Focus op wat je wél kunt controleren. 100 procent volledige soevereiniteit is in de praktijk nauwelijks haalbaar, maar focus je op het beschermen van waar je wel controle op hebt. Denk aan een goede basis: veilige back-ups, verspreid over meerdere locaties en leveranciers.
• Laat je adviseren door meerdere experts. Vertrouw nooit op één partij of één leverancier. Laat je door meerdere partijen adviseren en werk met verschillende partners samen.
• Blijf kennis opdoen en leer van elkaar. Schaam je niet als je nog niet alles weet. Zelfs de duurste consultants en de beste programmeurs zijn zoekende op dit gebied. Bouw je kennis op door ervaringen te delen en de ontwikkelingen op de voet te volgen.
• Vergeet de menselijke factor niet. AI-soevereiniteit is niet alleen een technisch vraagstuk, maar vooral organisatorisch, juridisch en ethisch. Betrek daarom juridische, ethische en operationele experts bij je plannen.

AI-soevereiniteit is maatwerk

AI-soevereiniteit is een complex vraagstuk, omdat er zoveel processen, technologieën en factoren mee gemoeid zijn. Sectorgerichte blauwdrukken en referentiearchitecturen zijn nog in ontwikkeling. Mijn verwachting is dat deze ontwikkelingen de komende jaren organisaties gaan helpen om AI-processen veilig en controleerbaar in te richten. Tot die tijd kunnen bedrijven zélf de eerste stappen zetten door te focussen op wat ze wél kunnen beheersen en zich goed te laten adviseren.