AI verbieden is geen strategie

De boodschap was helder: voorzichtigheid boven alles. Wat over het hoofd werd gezien, is dat op datzelfde moment al tienduizenden ambtenaren dagelijks gebruikmaakten van commercieel geleverde cloudgebaseerde diensten, zoals webapplicaties en ondersteunende diensten rondom OV-reizen. De brief leidde tot jarenlange terughoudendheid en beleidsmatige stilstand, terwijl de wereld buiten de overheid in de hoogste versnelling gewoon doorging. Het destijds beloofde cloudbeleid zag 11 jaar later pas het eerste levenslicht.

Laten we dat met AI anders aanpakken. De realiteit is namelijk dat AI er al jarenlang is. Burgers gebruiken het, bedrijven innoveren ermee, maar 85% van de ambtenaren maken er zelden of nooit gebruik van, zo blijkt uit recent onderzoek van ICTU. Logisch, want er gelden momenteel een paar zeer strikte beleidsregels op de inzet van GenAI binnen de overheid. Publieke organisaties oriënteren zich echter wel steeds nadrukkelijker op de mogelijkheden. De vraag is dan ook niet óf we AI moeten toepassen binnen de overheid, maar hóe. Die vraag wordt gelukkig opgepakt en is inmiddels deels ook beantwoord in recente beleidsstukken. In de Aanbiedingsbrief bij het overheidsbrede standpunt voor de inzet van generatieve AI van staatssecretaris Szabó van 22 april 2025 (Kamerstuk 26643, nr. 1125) en in de Nationale Digitaliseringsstrategie 2024 (NDS, bijlage bij Kamerstuk 26643, nr. 1094) is duidelijk gemaakt dat inzet van AI binnen overheden mogelijk is, mits deze plaatsvindt binnen de randvoorwaarden van wet- en regelgeving en de publieke waarden die daarbij leidend zijn. Kijk, dat klinkt al beter dan de deur dichtzetten.

Soevereiniteit is belangrijk, maar nog geen strategie

In discussies over AI valt steeds vaker het begrip 'digitale soevereiniteit'. Maar waar hebben we het dan precies over? Gaat het om de fysieke infrastructuur, de applicatie, het onderliggende model, of de data die wordt ingevoerd en gegenereerd? Of gaat het over inzet van medewerkers, want wie heeft toegang tot welke data? Digitale soevereiniteit kent nog geen goed uitgewerkte definitie en de aanpak is nog onvoldoende uitgekristalliseerd. Je ziet dat het nu als containerbegrip en heilige graal wordt ingezet, maar biedt op zichzelf geen nog richting voor actie.

Bovendien roept het een ongemakkelijke maar reële vraag op: kunnen we als overheden het tempo van de mondiale AI-ontwikkelingen bijhouden? De investeringen van grote technologiebedrijven lopen in de tientallen miljarden per jaar. Daartegenover staan wij die, met beperkte middelen en politieke besluitvorming, hun weg zoeken in een razendsnel veranderend landschap. Is dat een probleem? Alleen als we denken dat we alles zelf moeten doen. Het enige reële alternatief lijkt mij om de samenwerking te zoeken met betrouwbare partijen, duidelijke kaders te hanteren en scherp blijven op de publieke waarden die beschermd moeten worden.

Vijf scenario’s voor AI-infrastructuur

Een richting geeft de Aanbiedingsbrief van staatssecretaris Szabó van 22 april 2025 ook, deze beschrijft vijf scenario’s voor de inzet van generatieve AI door overheidsorganisaties:

1. Publiek beschikbare commerciële AI-diensten (zoals ChatGPT, Gemini, Copilot): laagdrempelig en krachtig, maar met significante risico’s op het gebied van gegevensbescherming, transparantie en afhankelijkheid.
2. Beveiligde commerciële cloudomgevingen (zoals Azure OpenAI in Europese datacenters): iets meer grip, maar nog steeds afhankelijk van private aanbieders.
3. Open source AI-modellen in publieke of private cloudomgevingen: meer transparantie en controle, maar vraagt om technische kennis en onderhoud.
4. Open source modellen op eigen infrastructuur (on-premises): maximale controle en dataveiligheid, maar technisch nog complex en kostbaar.
5. AI via publieke voorzieningen of nationale infrastructuur (zoals een toekomstige Europese AI-cloud): nog in ontwikkeling, maar noodzakelijk om publieke waarden structureel te borgen.

Deze scenario’s vormen een schaal van laagdrempelig tot hoge mate van soevereiniteit. Elk scenario kent zijn eigen balans tussen beheersbaarheid, schaalbaarheid, transparantie en afhankelijkheid. Er is dus niet één juiste keuze: de context en het beoogde doel bepalen wat verstandig is. Belangrijk is vooral dát er gekozen wordt — en dat er ruimte is om te leren.

Geen stilstand, maar gecontroleerd experimenteren

De Rijksoverheid heeft een dubbele taak: het gebruik van AI binnen de eigen organisatie op verantwoorde wijze stimuleren en randvoorwaarden creëren voor betrouwbare AI-toepassingen in de samenleving en het bedrijfsleven. Dat vraagt niet alleen om beleid, maar vooral om praktijk. Een veilige en verstandige manier om daarmee te beginnen, is het uitvoeren van experimenten met open data, geanonimiseerde datasets of toepassingen waarbij het model niet verder wordt getraind op basis van de gebruikersinput.

We hoeven niet de eerste te zijn. Maar we moeten wel meedoen. Want alleen door (mee) te doen bouwen we aan de kennis en ervaring die nodig is om AI in te zetten ten dienste van die zo belangrijke publieke waarde. En alleen zo voorkomen we dat we – net als bij ons eerdere cloudbeleid - moeten constateren dat technologische ontwikkelingen onze beleidsintenties zijn voorbijgelopen.

Reflectieve vragen

1. Wat betekent digitale soevereiniteit concreet binnen jouw organisatie of beleidsdomein?
2. Welk van de vijf AI-scenario’s past het beste bij de ambities van jouw organisatie?
3. Welke risico’s weerhouden je nu nog van AI-experimenten — en zijn die risico’s werkelijk onoverkomelijk?
4. Hoe kunnen we leren van eerdere beleidsmatige terughoudendheid, zoals bij cloudgebruik?
5. Wat heb jij nodig om verantwoord te kunnen starten met AI in jouw organisatie?

Reageren kan op RIConline