Digitaal Europa - een vijfdelige podcastserie van RADIO

We moeten onze digitale overheid vooral zelf maken vanuit Nederland, maar we zijn niet alleen. Meer dan andere producten en diensten zijn de digitale vaak grenzeloos, en dat levert niet alleen voordelen op. In Europa lopen we voorop met de uitgangspunten en acties om de voordelen te vergroten en de nadelen te verkleinen. Dat gebeurt met wetgeving, door het stimuleren van onderzoek en ontwikkeling in kennisinstituten en bedrijven en ook in concrete projecten. RADIO spreekt in de podcastserie Digitaal Europa met toonaangevende experts over de belangrijkste onderwerpen, zoals mensenrechten, digitale soevereiniteit, een Europese cloud, regulering van markten en mensgerichte AI.

Banner met tekst Digitaal Europa

Beluister ze alle vijf via de website of de bekende podcastplatforms als SoundcloudSpotify,  Pocket casts en  Apple.

Digitaal Europa - Een Europese cloudoplossing met Peter Verkoulen

Je kan makkelijk denken dat alles al in de cloud zit, maar we staan nog maar aan het begin van die ontwikkeling. De groei van de grote Amerikaanse en Chinese bedrijven laat zien dat er met de cloud veel te winnen is, maar ook dat die winst voortkomt uit een te ongelijke machtsbalans. Het oorspronkelijk Duits-Franse cloudinitiatief Gaia-X is in twee jaar gegroeid tot een enorme samenwerking van overheden en bedrijven. Laat je bijpraten door Peter Verkoulen van TNO, de programmamanager van de Nederlandse “hub” van Gaia-X.

Digitaal Europa - Een Europese cloudoplossing?

'Voor welk probleem is de cloud nou een oplossing?'
'Isoleren wij ons niet door het juridisch maken?'
'Hoe behouden we hier als Europa zeggenschap over?'
Welkom bij Digitaal Europa. Ik ben Robin Rotman en in deze podcast
van de Rijksacademie voor Digitalisering en Informatisering Overheid
bespreek ik met deskundigen de Europese aanpak van digitale dossiers.
VERKOULEN: Als jij beslist: bepaalde data mag best breder gebruikt worden,
dat jij dan a) kunt bepalen wat dan precies en door wie
en b) als daar geld mee verdiend wordt dat je daar ook je fair share van krijgt.
ROTMAN: Vandaag hebben we het over een Europese cloudoplossing
en te gast hierbij is Peter Verkoulen, programmamanager Gaia-X NL bij TNO.
Dit is dus de man die voorop loopt vanuit Nederland bij de ontwikkeling
van zo'n Europese cloudoplossing. Leuk dat ik hier mag zijn bij jou, Peter.
Elke aflevering neem ik een paar vragen mee van een team ambtenaren
die vanuit hun rol interesse hebben in digitale dossiers.
Dat zijn Loulou Hanna, Nina Krijnen en Ron Roozendaal.
Deze vraag komt van Loulou.
Zij is Rijks I-trainee bij het ministerie van Infrastructuur en Waterstaat.
Luister even mee.
'Ik ben gevraagd om aan jou een vraag te stellen over cloud,
maar ik merk dat het nog niet tot m'n verbeelding spreekt.
Dit zie ik ook om me heen. Waar hebben we het over als het over cloud gaat
en voor welk probleem is de cloud nou een oplossing?'
Dit is natuurlijk de ideale vraag om zo'n podcast mee af te trappen.
Waar hebben we het nou over?
VERKOULEN: Cloudoplossingen die zijn bedacht,
al 15 of 20 jaar geleden, omdat mensen zeiden:
we kunnen wel ons eigen datacenter vol zetten met computers
met rekenkracht en opslagcapaciteit,
maar vaak zie je in het gebruik dat er pieken zijn,
dat er rond beslissingsinvloeden of einde van de maand
een afsluiting gedaan moet worden of zo.
En de rest van die tijd staan die dingen dan vervolgens niks te doen.
En dat was vroeger al zonde,
maar tegenwoordig met klimaatvraagstukken et cetera
is dat nog vervelender. Dus als je een cloudoplossing hebt,
ga je als het ware naar die virtuele omgeving toe, die cloud.
Daarom is ooit die parallel van een cloud, wolk, ontstaan.
Daar haal je je opslag en rekencapaciteit vandaan,
gebruik je en betaal je ook voor gebruik.
Misschien heb je vandaag veel nodig en morgen wat minder.
En op die manier deel je met z'n allen een gemeenschappelijke infrastructuur
in plaats van dat ieder voor zich z'n eigen ding maakt
met z'n eigen reservecapaciteit en dus onbenutte potentieel.
Dat is cloud in een nutshell.
ROTMAN: Goed, maar dan is er dus kennelijk een Europese cloud.
Een Europees project, Gaia-X. Jij loopt vanuit Nederland voorop
om de Nederlandse belangen te verdedigen
of de Nederlandse input te leveren bij dat project.
Al die landen werken daar samen. Wat is dan het nut van zo'n Europese cloud?
VERKOULEN: Dat zijn een paar vragen in mekaar,
maar ik ga proberen een voor een...
dan moet je dadelijk maar kijken of ik ze allemaal gearresteerd heb.
Er zijn vooral in Amerika 10, 15 jaar geleden grote cloudproviders ontstaan.
De drie grote die mensen kennen, zijn Google, Amazon en Microsoft.
En daar heeft Europa een beetje de boot gemist.
Er is niet een grote Europese cloud indertijd ook ontwikkeld.
Ik geloof dat in Nederland 92% al onze data die in de cloud staat
bij een van die drie grote Amerikaanse spelers zit.
Een aantal jaar geleden is er al gezegd: Dat is misschien niet zo'n goed idee.
Want we hebben in Europa andere ideeën over privacy
en over normen en waarden rondom data van mensen, bedrijven en organisaties.
dan ze in Amerika hebben. Laat staan de andere kant op,
richting China bijvoorbeeld.
Dus er zou een Europees alternatief moeten zijn.
Toen dacht men: dan moeten we een Europese Microsoft gaan creëren.
Maar daar zitten een paar bezwaren aan.
1 is: een schatting is dat je 80 miljard moet meebrengen
als je zoiets wil bouwen. Maar 2 is misschien nog fundamenteler:
Wat brengt een Europese Microsoft ons verder?
Want dat blijft een, dat noemen ze een hyperscaler,
zo'n enorm grote cloudprovider
die door zijn omvang een bepaalde machtspositie heeft.
En je kan je afvragen: wat helpt het om daar een Europese variant van te maken?
Toen is het idee van Gaia-X ontstaan 2,5, 3 jaar geleden.
Er is toen gezegd: je zou eigenlijk
een zogenaamde federatieve oplossing moeten ondersteunen.
Dat betekent dat grote en kleine data- en cloudproviders,
dat komt zo nog wel, dat Gaia-X meer is dan alleen maar cloud,
maar grote en kleine providers samen kunnen werken
op basis van een architectuur die binnen Gaia-X ontwikkeld is
op basis van standaarden die daarbij horen
en open source softwarecomponenten die er ontwikkeld worden.
ROTMAN: Wacht even. Er is dus een Europees project
waarin het Europese bedrijfsleven samen werkt aan deze cloud.
Samen met de overheden ook?
-Het is een Europees initiatief.
Het is bedrijfsleven en kennisinstellingen
die samen lid zijn van een internationale Gaia-X-organisatie.
Hoofdkantoor Brussel en inmiddels 17 hubs in 17 landen.
Het is breder dan Europa. Het is ontstaan vanuit Europa
eigenlijk op de as Frankrijk-Duitsland 2,5 jaar geleden.
En toen werd gezegd: het moet breder worden.
Toen zijn die hubs in diverse landen opgericht
om daar het lokale ecosysteem te verbinden met die centrale ontwikkeling
en te zorgen dat dingen die in zo'n land belangrijk gevonden worden,
in mijn geval dan Nederland,
ook over het voetlicht komen in de internationale ontwikkelingen.
Zo'n hub heeft ook de brugfunctie om de dingen die in Europa gebeuren
naar Nederland toe te halen. Maar het gaat verder dan Europa.
Er zijn niet alleen maar Europese partijen in Gaia-X actief.
Er is inmiddels ook een hub in Zuid-Korea,
er is een hub in Japan in oprichting.
En als je even nadenkt, is dat ook logisch.
Mensen zijn verbaasd als ik dat zeg. 'Het was toch Europa?'
Maar als we een oplossing bakken die het alleen maar in Europa doet...
Philips wil graag...
Philips is lid van de internationale Gaia-X-organisatie.
Die wil ook met data buiten Europa kunnen werken.
Die hebben niks aan een oplossing die het alleen maar in Europa doet.
Dus ook niet-Europese partijen kunnen inhoudelijk bijdragen aan Gaia-X.
De governance is zo georganiseerd
dat er in het bestuur alleen maar Europese partijen kunnen zitten.
Ook niet grote niet-Europese met een hoofdkantoor
in Ierland of Brussel, maar een echt Europese partij.
ROTMAN: Maar dan weet je als internationaal bedrijf
vanuit Nederland dat die gegevens dus op servers staan
die qua veiligheid en privacy voldoen aan onze waarden en normen.
Dan weet je altijd: waar ik ook ben...
-Precies.
ROTMAN: Oké, dit is helder. Nu is Loulou op een feestje
en jij wil haar als een soort ambassadeur van jouw project.
En Loulou zegt dan: het spreekt nog niet tot de verbeelding.
Ik hoor jou van alles roepen, ik snap waarom.
Maar wat zou dan je pitch zijn aan Loulou
waardoor zij op een verjaardag aan vrienden en familie zou kunnen uitleggen:
'Het is belangrijk, moeten we doen.'
-Nou ja, ik denk twee dingen.
1, cloud als zodanig is belangrijk omdat het je de flexibiliteit geeft
qua rekenkracht en dataopslag om daar veel efficiënter daar mee om te gaan
in plaats van dat iedereen z'n eigen oplossing bakt.
Dat is cloud in z'n algemeenheid.
En Gaia-X, omdat dat op een manier gebeurt waarbij je rekening houdt
met normen en waarden zoals privacysoevereiniteit,
een moeilijk woord voor: jij bepaalt zelf wat er met jouw data gebeurt
en waarom en hoelang en door wie
en dat dat niet stiekem vanuit de achterkant gebeurt.
Het zijn die twee aspecten: cloud om wat ik net zei, die flexibiliteit
en Gaia-X omdat je dat dan op een Europese manier doet
en niet op een manier van: ik gooi het in de cloud
en dan hoop ik maar dat het wel goed gaat.
ROTMAN: Het klinkt ook een beetje omslachtig.
Het is redelijk geforceerd. We vinden het belangrijk, dit gaan we doen.
We brengen al die slimme mensen bij mekaar,
waaronder jij vanuit Nederland en een boel bedrijven zitten daar dan bij,
landen denken mee. Ik heb natuurlijk een beetje zitten googelen.
Het is een project van horten en stoten. Ik ben natuurlijk een ongeduldig mens.
Je zou ook kunnen zeggen:
wij nodigen gewoon partijen uit, nationaal en internationaal,
om dit soort dingen te bedenken en als we daar gebruik van maken,
zijn we kritisch: voldoet het wel of niet? Zo niet, maken we er geen gebruik van.
Dan laat je dat bedrijfsleven alles organiseren,
ook misschien de grote partijen, en dan zeggen we:
Het kan me niet schelen waar die servers staan,
zolang je maar, als je ons binnen wil halen als klant,
aan onze regels voldoet, anders doen we gewoon niet mee.
Dan hoef je het niet zelf te bedenken, maar heb je wel de service.
Dat zal ongetwijfeld ook een overweging geweest zijn.
VERKOULEN: Dat is eigenlijk wat er gebeurt,
maar dan moeten we nog één ding toevoegen.
Want bij Gaia-X zei ik net al, gaat het niet alleen maar over cloud.
Het gaat over federatief data delen,
dus gebruikmaken van elkaars data of met elkaars data samenwerken
en dan de onderliggende federatieve cloudinfrastructuur
die je nodig hebt om dat mogelijk te maken.
Dus waarom zou je dat doen?
Omdat je uit die verschillende databronnen meerwaarde kunt halen.
Voorbeeldje wat ik altijd geef is: stel je voor vroeger, de pacemaker.
Vroeger ging je daar één keer in het jaar mee naar de arts...
werden de draadjes aangesloten, werd je doorgemeten, ging je weer naar huis.
Later werden die dingen draadloos. Maar eigenlijk is dat 1.1...
want dat is nog steeds jij met je pacemaker,
en misschien heb je nou een app en druk je op een knopje
en krijg je een advies van je arts.
Maar het blijft jij in een een-op-eenrelatie met je hart.
2.0 is: we hebben 100.000 mensen met zo'n pacemaker
en we zien dat 10.000 van die mensen het beter doen
dan die andere 90.000.
-Je kan gegevens vergelijken.
De resultaten van de leeftijdscategorieën. VERKOULEN: Advies geven aan hen
die het minder goed doen. Dan ga je op basis
van wat je weet over die hele populatie
het voor de individuele leden van die populatie beter maken.
Maar dat moet wel op een zodanige manier...
Ik wil daar best aan meewerken als ik een van die 100.000 ben,
maar niet als ik de dag daarna bij de hypotheekverstrekker kom die zegt:
'Sorry meneer Verkoulen, maar wij weten toevallig dat u een hartprobleem hebt.'
ROTMAN: Dit zijn normen en waarden. Hier gaat het over privacy.
Hier gaat het over: hoe delen we die data, met wie?
Hoe weten we zeker dat we alleen met die data... We willen het wel doen.
En daarvan zeg jij, dan kom je niet meer weg
met afhankelijkheid van andere delen van de wereld. Dat willen we zelf organiseren.
VERKOULEN: Inderdaad, en als een partij uit Amerika zich aan die spelregels houdt,
Gaia-X-compliant oplossingen wil leveren en dat kan bewijzen,
is dat helemaal prima. En dan kun je straks als eindgebruiker zeggen:
Een stukje van mijn data zet ik in een blauwe Gaia-X-omgeving neer,
door Microsoft geleverd, en een ander stukje in een groene,
die is wat strenger qua eisen, en die wordt door KPN in Nederland geleverd,
en dan weet ik dat mijn data in Nederland blijft. Bijvoorbeeld. Zo kan je dat doen.
ROTMAN: Ik heb een vraag van Nina Krijnen, beleidsmedewerker
van de Taskforce Cyber van het ministerie van Buitenlandse Zaken:
'De cloud wordt een centrale infrastructuur
voor bedrijven en publieke diensten.
Hiervoor is grote rekencapaciteit en cloudinfrastructuur nodig.
Hoe behouden we hier als Europa zeggenschap over?'
Je merkt alweer meteen dat deze mensen slimmer zijn dan ik.
Fijn dat ze mee willen werken.
Eerst even die centrale infrastructuur voor bedrijven en publieke diensten.
Wat betekent dat nou werkelijk?
VERKOULEN: Wat betekent in deze vraagstelling,
en ik denk dat ze dat goed zegt,
is dat uiteindelijk bedrijven en publieke instellingen de cloud,
een samenstel van diensten
die door verschillende partijen geleverd kunnen worden
en het liefst dan, in mijn geval, door partijen die het Gaia-X-label hebben.
Dat ze daar hun IT-diensten uit halen
in plaats van vroeger, hun eigen datacenter wat ze moesten beheren
met, wat ik net zei, het probleem van overcapaciteit et cetera.
Maar kleinere organisaties, mkb-partijen,
hadden hun server misschien in de bezemkast staan
en degene die het meest van ICT wist, deed daar dan het beheer van.
Maar of dat nou helemaal veilig was, kun je je afvragen.
Dus het leidt uiteindelijk ook als je het op een goede manier doet,
tot meer veiligheid en betere garanties.
ROTMAN: Maar leidt het ook tot een gedeelde rekenkracht en AI-power
die je ook kan delen met z'n allen? Gebeurt dat ook?
VERKOULEN: Het zijn twee dingen. Je gebruikt samen die infrastructuur
en als ik vandaag een beetje meer nodig heb en jij morgen,
dan is dat prima en dan zorgen die providers ervoor dat er voldoende is.
En het andere is, dan kom je op die datakant van de zaak:
Uiteindelijk gaat kunstmatige intelligentie
met de huidige technologie altijd over heel snel kunnen rekenen,
over hele grote datasets en dan moet je die data wel bij mekaar kunnen brengen.
Dat voorbeeld wat ik net zei: ik moet wel iets weten
over die 100.000 mensen om te kunnen bepalen:
'Het is slim om voortaan 's morgens een uurtje op de fiets te gaan zitten,
want die mensen zijn 10% gezonder dan de mensen die dat niet doen.
Dan moet ik wel naar die 100.000 mensen kunnen kijken
en die data dus ook bij mekaar kunnen brengen.
ROTMAN: En ze heeft het over die EU-zeggenschap
en hoe zorgen we ervoor dat we dat houden?
Wat is dan precies die EU-zeggenschap en hoe is dat dan georganiseerd
dat die normen en waarden ingebakken worden?
Nou ja, dat kan op twee manieren. Laten we zeggen, dwang en verleiding.
De wortel en de stok, zoals dat dan zo mooi heet.
De Europese Commissie is al een paar jaar bezig
met wet- en regelgeving rondom dit soort oplossingen.
ROTMAN: AI Act.
-AI Act, Data Act,
Data Services Act, Market Act.
-Noem maar op. Er komt een heleboel.
VERKOULEN: Er is al een hoop en er komt nog een boel aan.
Dus dat is wet- en regelgeving waar iedereen zich aan moet houden.
Daar moeten de Gaia-X-partijen zich aan houden,
maar iemand die zegt 'ik ga het lekker zelf organiseren'
moet zich daar ook aan houden.
Dus dat is beperking vanuit de wet- en regelgeving.
Bij Gaia-X zeggen we: we zien dat privacy, dat zelfbeschikkingsrecht
belangrijke onderliggende waarden zijn voor Europa en dus ook voor Nederland
en we zorgen dat die by design al in onze oplossingen zitten.
En we denken dat we daarmee een aantrekkelijker aanbod hebben
en dat mensen dus graag zullen zeggen van:
misschien betaal ik er wel iets meer voor,
maar ik maak liever gebruik van zo'n dienst,
dat ik zeker weet wat er met m'n data gebeurt
en dat ik niet morgen bij de Hypotheekshop sta en hoor:
'Sorry, u komt er niet in, want uw hartproblemen.'
Terwijl ze dat helemaal niet hadden mogen weten.
Dat is de verleidingskant van de zaak, zou je kunnen zeggen.
En de wet- en regelgevingskant zorgt voor inperking,
want iedereen moet zich daaraan houden.
ROTMAN: Ik heb een praktische vraag. Klein stapje terug, merk ik.
Hoe ziet die cloud eruit fysiek?
Zijn dat allemaal servers overal in Europa? En wie betaalt dit?
VERKOULEN: Zoals het bij Gaia-X zal werken, federatief.
Dus er zijn meerdere partijen die diensten aanleveren
en jij als gebruiker, individu of bedrijf of organisatie
bepaalt hoe je je data daarover verdeelt, zal ik maar zeggen.
Wat ik net al zei, je kunt best zeggen:
een stukje staat hier, een stukje staat daar
en je weet dat als het allemaal volgens de Gaia-X-standaard werkt,
dat het met elkaar samenwerkt
en dat je het ook makkelijk kan overtanken van A naar B.
Want dat is een van de problemen nu.
Als je 't eenmaal in zo'n bestaande grote Amerikaanse oplossing gegoten hebt,
als ministerie bijvoorbeeld. ROTMAN: Dan blijf je afhankelijk.
VERKOULEN: Het is heel moeilijk. Het kost dan veel geld om te zeggen:
'Ik had provider A, maar om moverende redenen wil ik over 'n tijdje provider B.'
Dat tijdje duurt dan al lang. Dat doe je niet van de ene op de andere dag.
En dat is ook iets wat geld kost. Als je conform Gaia-X gaat werken,
dan kan je dat bij wijze van spreken per dag wisselen als je dat zou willen.
ROTMAN: Dat gaat over de locaties en de deelbaarheid.
VERKOULEN: Wie betaalt dat dan? Uiteindelijk heb je serviceproviders
die Gaia-X-diensten leveren, of clouddiensten in z'n algemeenheid...
maar in mijn geval Gaia-X-diensten.
ROTMAN: Die rekenen daar iets voor.
-Ja, je zult per...
ROTMAN: Maar bij de bouw van de infrastructuur zelf?
VERKOULEN: Nee, normaal...
Het is gebruikelijk om dit 'pay per use', zoals dat in slecht Nederlands heet,
af te rekenen, dus je betaalt naar gebruik.
Heb je een tijdje veel opslag of veel rekenkracht nodig, dan betaal je meer.
ROTMAN: Maar jullie zijn die infrastructuur aan het bouwen.
Dat kost geld, tijd en energie. Dat kost mankracht en hardware.
Betaalt de Europese Commissie dat?
-Kijk, wij bouwen niks.
De Gaia-X-organisatie, dat zei ik net al: wij gaan niet een nieuwe cloud bouwen
als Gaia-X. Wij maken standaarden, we maken open source software
die iedereen kan gebruiken om diensten in te richten...
en we maken een kwalificatieaanpak
waarmee je bewijst dat jouw diensten aan bepaalde eigenschappen voldoen.
En dan kan een kleine speler... ROTMAN: Ik snap 'm.
dat gebruiken om z'n diensten mee te bouwen.
ROTMAN: Nu gaan we het politiek maken. Nina vraagt zich af,
ik heb natuurlijk wat vervolgvragen meegekregen ook:
'Op welke manier poogt Gaia-X tot een infrastructuur te komen
die aansluit bij de Nederlandse waarden?'
Want dat lees ik ook terug in het nieuws rond Gaia-X:
Landen zijn betrokken, de TNO's van heel Europa zijn erbij betrokken
en je voelt aan alles dat het niet altijd vanzelf gaat.
De Fransen zijn nu toch weer bezig met Amerikaanse spullen
om tot een eigen soort cloud te komen. Je weet bijvoorbeeld dat 5G in Europa,
daar wordt overal anders over gedacht.
De Duitsers zeggen wat meer: 'Kan me niet veel schelen waar dat vandaan komt,
als ze voldoen aan onze eisen mogen ze komen.'
De Britten willen helemaal niks met Huawei te maken hebben.
Wij zijn heel kritisch. Ik weet niet precies,
we zitten daar volgens mij tussenin. We neigen meer naar die Britten.
En ik kan me voorstellen dat dat Gaia-X ook een soort politiek mijnenveld is
van allemaal belang en wensen. Merk je dat ook?
VERKOULEN: Nou ja, als je veel partijen bij mekaar brengt...
Er zijn nu 350 bedrijven en kennisinstellingen
binnen de internationale Gaia-X.
-Wordt een gezellige Zoom-meeting.
VERKOULEN: Eén keer per jaar is de algemene vergadering
en dat was een gezellige, ik weet niet welk platform ze gebruikt hebben...
ROTMAN: Succes met de discussie.
-Maar dat heb je ook nodig.
Je moet het met elkaar doen.
Een bekend gezegde in ecosystemen bouwen zegt:
'Samen kom je ver, alleen ga je sneller.'
Maar je moet dit samen doen.
We hebben het net gehad over een federatieve aanpak, een samenaanpak.
Die is per definitie samen, dus dat moet je accepteren.
De hubs zorgen ervoor dat je de accenten kunt leggen
vanuit de individuele betrokken landen, dus in mijn geval vanuit Nederland.
Ik denk dat er uiteindelijk altijd wel
consensus is over wat we belangrijk vinden.
In individuele landen heb je misschien specifieke aandachtspunten,
maar ook specifieke dingen waar we goed in zijn.
Maar merk je, ik onderbreek je even, sorry,
dat die Nederlandse waarden waar zij het over heeft
dat die ook... Heb je af en toe wel het gevoel:
'Ik moet nu de verdediging in. Dit moet ik binnenhalen.
Dit is belangrijk voor ons Nederland en misschien minder voor de rest.'
Voel je daar een beetje verschillen?
-Nou, twee dingen:
Ik denk dat Nederland als zodanig
sowieso altijd wel een verbindende rol heeft in dit soort dossiers.
We zijn klein genoeg om niet meteen bedreigend te zijn.
We zijn gewend om met elkaar samen te werken.
Misschien soms een beetje te veel.
Eén van de stappen naar de toekomst toe voor de hub
is dat we zeggen: er zijn nou wel heel veel data-deelinitiatieven,
een aantal landelijk, sectoraal, regionaal.
Dat moeten we wel bij mekaar gaan brengen.
Want het experiment in de afgelopen jaren was prima op allerlei plekken,
maar wil je gaan schalen,
moet je niet zes verschillende initiatieven hebben straks.
Maar goed, dat geeft ons wel een goede positie wat dat betreft.
Eén van de concrete voorbeelden waar we wel druk op zetten:
We hebben in Nederland verstand van ICT-auditing.
We hebben een grote beroepsgroep.
We hebben NOREA waarin die beroepsgroep georganiseerd is.
We hebben de online trust coalition van partijen
die nadenken over vertrouwen in cloudomgevingen,
dus echt aan die infrastructuurkant. Aan de onderkant van de X van Gaia-X,
zoals we dan zeggen.
Dat betekent ook dat we daar meningen over hebben
en die nemen we dan mee in het spel naar de ontwikkelingen
zoals die in Europa plaatsvinden. We doen in Nederland projecten.
Heel concreet: er is het zogenaamde Smart Connected Supplier Network.
Dat is een initiatief van 300 mkb-bedrijven
en een paar grote bedrijven rondom Brainport Industries in Eindhoven,
waar data gedeeld wordt in de maakindustrie.
Zitten een tiental serviceproviders bij, ook relatief kleine spelers
en KPN speelt daar nu ook een rol in als grotere partij.
En in dat project zijn we nu bezig met die online trust coalition en NOREA
om te zeggen: hoe werkt dat nou met zekerheden in dit soort omgevingen?
en wat we daar leren, nemen we mee als input naar Europa.
ROTMAN: Ik heb een vraag van Ron Roozendaal, kwartiermaker,
plaatsvervangend directeur-generaal digitalisering bij Binnenlandse Zaken:
'Als het gaat om cloud lijkt het wel alsof wij in Europa
technisch niet zoveel voor elkaar bakken
en het vooral juridisch proberen te beteugelen.
Isoleren wij ons niet door het juridisch te maken?'
VERKOULEN: Goede vraag.
-Je gaat een beetje lachen.
Het doet een beetje pijn misschien ook?
VERKOULEN: Nee, ik ken Ron al wat langer
en ik vind het een goede vraag die spot-on is
en ook de vinger op de goede plekken legt.
Twee dingen, denk ik. Bakken we niet zoveel voor mekaar?
Ik zei zelf in m'n introductie al, 10, 15 jaar geleden,
toen dit hele spel begon rondom cloud,
zijn er grote Amerikaanse providers ontstaan
en later ook grote providers in China bijvoorbeeld
en er is geen Europese Microsoft.
ROTMAN: Het is een inhaalslag, dat moet je onderkennen.
VERKOULEN: Daar heeft hij gelijk in. We doen het nu in Europa anders.
Dus we gaan niet proberen alsnog die Europese hyperscaler te bakken,
Maar met Gaia-X, met de federatieve aanpak,
bestaande partijen bij mekaar brengen.
Of je nou een kleine Nederlandse provider bent of een middelgrote Franse
of een Europees zoals Atos of T-systems, noem het maar op,
die kunnen dadelijk allemaal, en ook de grote niet-Europese partijen
kunnen allemaal Gaia-X-diensten leveren en dat kan met elkaar samenwerken.
ROTMAN: Dus in plaats van de technologie opnieuw uitvinden
ga je regels bedenken waar we allemaal aan gaan voldoen.
Het is meer een soort compliance-verhaal.
VERKOULEN: Ja. Nou ja, regels...
Laten we zeggen: er is een architectuur gedefinieerd
en je gaat volgens die architectuur werken
en je mag dat doen met de open source softwarecomponenten die je krijgt.
Hoeft niet. Je mag ook zeggen: hoef ik niet, ik ga 't zelf ontwikkelen.
Maar iedereen kan die componenten gebruiken.
Gaia-X Federation Services heet dat.
Uiteindelijk moet je bewijzen dat je compliant bent inderdaad.
Dus dat is de Gaia-X-insteek.
Het andere wat Ron zei ging over wet- en regelgeving.
Daar zie je inderdaad dat Europa, en Nederland gaat daar in mee
en zal hier en daar misschien nog z'n eigen accenten daarin leggen,
maar Europa komt met die wetgeving, Data Act,
we hebben ze net allemaal, niet uitputtend, maar een aantal...
ROTMAN: Je hebt ze genoemd.
-En dat is niet isoleren.
Want dat is het speelveld in Europa, laten we zeggen: reguleren.
En daar moet zowel een Amerikaanse of een Aziatische of een Europese partij
gewoon aan die spelregels voldoen.
Uiteindelijk zorgt dat voor een gelijk speelveld.
ROTMAN: Maar het doel is toch juist om een beetje te isoleren
omdat je zelf de controle wil houden. Dat is toch wat je wil juist?
VERKOULEN: Je wil dat partijen hun diensten leveren
op de manier zoals jij dat graag wil. Dus dat ze zich aan de spelregels houden,
dat ze goed met je privacy omgaan bijvoorbeeld.
Maar Nederland is ook koopmansgeest.
Dus als de partij zich aan die regels houdt, is het prima.
En welke partij het dan is, laat er dan vooral concurrentie zijn,
zodat we wat te kiezen hebben als individu of bedrijf.
ROTMAN: We zijn in Nederland best slim, handig, ondernemend.
We zijn goed in het bedenken van nieuwe bedrijfjes, start-ups.
We hebben heel veel ideeën. We zijn niet zo goed in die scale-up,
daar loopt het vaak een beetje vast.
Hoe gaat deze cloudoplossing, noem ik het toch maar, ons helpen?
Wat zijn de economische kansen die je ziet door dit op deze manier te doen?
VERKOULEN: Het is dus een, ik blijf het zeggen: het gaat over data en cloud.
Dus niet alleen over de cloudlaag,
maar vooral ook over de datalaag die daarboven zit.
En het mooie is dat een start-up bijvoorbeeld
die een nieuwe dienst in de medische sector, om daar maar even te blijven,
want daar kwam het andere voorbeeld ook vandaan,
bedacht heeft, die kan dan van die clouddienst gebruikmaken
die het dan over de hele wereld doet,
hoeft dus niet door verschillende hoepels te springen
in verschillende landen of regio's.
Dus voor zo'n startup die zich wil focussen op waar hij of zij goed in is,
hoeft hij zich niet druk te maken over
'hoe moet ik dan m'n onderliggende ICT organiseren?'
ROTMAN: Dus er zit een soort belofte van schaalbaarheid in.
VERKOULEN: Dat zit erin, dat is 1. En 2 is:
De waarde komt vaak uit het feit dat je data combineert
die uit verschillende bronnen komen. En zeker voor een start-up geldt:
Die weet vaak niet eens wat er aan data beschikbaar is.
Veel mensen weten niet eens dat er in Nederland bijvoorbeeld
ook veel open data is, die het CBS bijvoorbeeld ter beschikking stelt.
Nou, als je het niet weet, kan je er al niks mee doen
en als je het wel weet, maar je weet vervolgens niet hoe je erbij kan komen,
heb je er nog niks aan.
En met dit soort oplossingen wordt het ook makkelijker
om dat voor iedereen te ontsluiten.
En dan kan je weer terug naar het verjaardagsfeestje van Loulou,
want dan kan je nieuwe dingen gaan doen die je hiervoor nog niet kon.
ROTMAN: Wat betekent het voor mij als burger? Ga ik het merken?
Wat gebeurt er voor mij? VERKOULEN: Feitelijk ontstaat er straks
voor jou als burger ook keuze. Dus je ziet dat... Ik denk dat sowieso
die discussie over wetgeving vanuit Europa misschien ook wel aan mee helpt.
Dat er ook wat meer bewustzijn komt,
niet alleen bij politici en journalisten, bij opiniemakers,
maar ook bij het publiek van: ja, ik moet misschien toch nadenken over privacy.
'Wat gebeurt er met mijn data en moet ik zomaar overal op ja klikken?'
Enzovoorts.
ROTMAN: Wordt het bijvoorbeeld makkelijker voor mij om straks meer
zelfbeschikking te hebben over die data? Dat is een belangrijk ding uit die GDPR,
de privacyregelgeving die een paar jaar geleden van kracht is geworden.
Gaat dat dan ook nu een soort fysiek iets krijgen?
Want dat blijft altijd lastig.
-Je krijgt dadelijk dus meer keuze
en je kunt zeggen: ik kies dat platform om m'n data in op te slaan
en dan weet ik dat dat aan bepaalde spelregels voldoet.
Er zit ook wel een bewustzijn voor.
5 of 10 jaar geleden zeiden mensen gewoon:
'Mooi, die diensten zijn allemaal gratis,
dat is heel fijn, want nul euro betalen vinden we prettig.'
Alleen wat ze zich niet realiseerden en dan kom je ook op bewustzijn,
was dat je dan op een andere manier betaalt.
Want gratis bestaat niet, dus je betaalt al wel niet met euro's,
maar je betaalt met je data.
-Het klassieke verhaal.
VERKOULEN: En als jij dat prima vindt,
als jij zegt: ze mogen best wat van me weten
en dat heeft een waarde, dan is dat op zich helemaal prima.
ROTMAN: Er komt een soort keuze, nieuwe alternatieven,
dat je misschien wel een paar eurootjes betaalt
en dat je wel al je gegevens lekker bijhoudt. Zoiets?
VERKOULEN: Ja, en dat als jij beslist:
'Bepaalde data mag best breder gebruikt worden', dat jij dan a) kunt bepalen
wat dan precies en door wie, en b) als daar geld mee verdiend wordt
dat je daar ook je fair share van krijgt
en niet dat anderen geld gaan verdienen met jouw data.
ROTMAN: Er luisteren veel ambtenaren mee. In ieder geval drie,
want die hebben een vraag gesteld.
Dat zijn mensen die constant bezig zijn met beleid maken,
bezig met nieuwe projecten, toepassingen voor uitkeringen of allerlei processen.
Voor alles is digitalisering tegenwoordig.
Wat betekent het voor hen? Krijgen ze meer mogelijkheden?
Wordt het makkelijker? Wordt het leuker? Heb je daar een soort beeld bij?
VERKOULEN: Ja. Op zich geldt voor publieke instellingen
hetzelfde als voor bedrijven. Ze kunnen meer waarde uit data halen
door data uit bronnen op een goede manier te combineren
en ook op een manier waarvan wij zeggen: dat mag zo.
Laat ik weer even een voorbeeld nemen.
Een paar maanden geleden was in het nieuws dat het NFI 'n Tesla had gekraakt
en op basis daarvan kon bijdragen aan de analyse van een verkeersongeval
van: wie is ie de schuldige?
Ik zei al, dat was gekraakt, dat was niet van tevoren zo bedoelt.
Dus je kan je afvragen: willen we dat eigenlijk wel?
Nou, met het doeleinde een verkeersongeluk met letsel op te lossen,
vinden we dat wel een goed idee, maar de volgende stap is natuurlijk:
'Jij krijgt alvast even je bekeuring thuis gestuurd,
want die Tesla ook tegen het OM vertellen, dat ie te hard gereden heeft.
Dat vinden dan weer geen goed idee.
Dus aan de ene kant geldt ook in het publieke domein:
Goede afspraken maken over wat mag er met je data en waarom
en wat mag ook vooral niet.
En soms zijn dat dingen die je misschien niet leuk vindt,
maar zo gaan we in de maatschappij met elkaar om.
Mijn inkomensdata gaat ook naar de Belastingdienst toe,
hebben we zo afgesproken. Dus ook in het publieke domein
ontstaan er door deze manier van met data te kunnen werken
nieuwe oplossingen, nieuwe oplossingsmogelijkheden
en kunnen die ambtenaren dat inzetten
om bijvoorbeeld bij te dragen aan het oplossen van klimaatproblemen
ROTMAN: Als je een wensenlijst hebt voor normen en waarden die je wil toevoegen,
wordt het makkelijker om die te implementeren omdat het ons systeem is.
Zoiets?
-Dat. En ik kan me ook voorstellen
dat zeker in het publieke domein
die normen en waarden steeds heel belangrijk zijn
en moet je dus ook steeds als je data gaat delen en je afvragen:
Oké, maar gebeurt dit nog wel op een manier
zoals wij dat ook wenselijk achten als maatschappij
en dan kunnen dit soort platformen daar een goede hulp bij bieden?
Nog één laatste vraag van Nina. Daarna laat ik je weer vrij.
Zij heeft het over de Autoriteit Persoonsgegevens
die eerder dit jaar zorgen uitte
over meldingen van datalekken als gevolg van cyberaanvallen.
En dan is de vraag: 'Hoe garanderen we als Nederland
privacy en bescherming van mensenrechten
in het kader van de ontwikkeling van de cloud?'
Dus dit gaat een beetje door op, je hebt het vaker genoemd,
we vinden dit allemaal belangrijk.
En de vraag is nu: hoe dan? Welke tools krijgen we nu dan in handen,
waardoor we daar meer controle over krijgen?
VERKOULEN: Ik denk toch die twee dingen.
Uiteindelijk wordt er iets wel of niet gemeld bijvoorbeeld.
Dat is wet- en regelgeving, daar maak je afspraken over.
Dat moet je controleren en eventueel sanctioneren
als partijen zich daar niet aan houden.
Je zou kunnen zeggen dat Gaia-X ervoor zorgt
dat er straks een breder alternatief beschikbaar is dat ook,
wat ik zei, kleine Nederlandse partijen kunnen ook
Gaia-X-compliant diensten leveren
en dan zeg je misschien wel als publieke organisatie:
'Dan maak ik daar liever gebruik van, want dat zit dichter bij huis,
dus kan de AP beter monitoren dan bij een grote internationale speler.
Dus dat zou een handvat kunnen zijn.
En het andere is: bij het realiseren van Gaia-X-diensten
neem je die grondrechten als het ware
als basis om op te bouwen.
Dus voor een stukje zit dat er dan by design in.
Als je die diensten gebruikt dan weet je
dat die diensten zijn ontwikkeld met dat in het achterhoofd.
ROTMAN: Wanneer is het klaar of is het nooit klaar?
VERKOULEN: Het is nooit klaar,
maar laten we zeggen het architectuurdocument
is rond de jaarwisseling opgeleverd.
De eerste GXFS-componenten zijn inmiddels opgeleverd.
Er zijn nu een stuk of 25 Europese partijen
die onder de vlag Structura-X, weer zo'n X-project,
samen aan het kijken zijn hoe ze die Gaia-X-diensten
met elkaar, met 25, kunnen organiseren.
Dus hoe ziet zo'n federatief landschap van in dit geval 25 cloudproviders eruit?
In de komende maanden zul je daar gebruik van kunnen maken
en in de komende jaren zal dat steeds doorontwikkeld en uitgebreid worden.
ROTMAN: Die trein dendert door, ook als de Fransen dwarsliggen.
De trein dendert gewoon door en de route van de trein
wordt beïnvloed door iedereen die meedoet.
En als de Fransen een actieve rol hebben,
zal dat invloed hebben op hoe de trein rijdt
en wij vanuit Nederland zullen ook zorgen dat we onze invloed uitoefenen
op het spoorboekje en waar de rails te komen te liggen.
ROTMAN: Daarvoor hebben we jou als poppetje naar voren geduwd.
Ik wens je heel veel succes om onze belangen daar te vertegenwoordigen.
Dank je wel. Peter Verkoulen, programmamanager Gaia-X NL bij TNO.
Dank je wel ook, Loulou Hanna, Nina Krijnen en Ron Roozendaal
voor jullie vragen. Dit trio heeft ook voor alle andere afleveringen
in deze serie leuke vragen bedacht, dus benieuwd waar ze mee komen.
Als je meer wil weten,
je wil deze of alle andere afleveringen terugluisteren,
ga dan naar it-academieoverheid.nl of je favoriete podcastapp.
Tot volgende keer. Dank je wel, Peter.
-Graag gedaan.

Digitaal Europa - Digitale soevereiniteit met Bart Groothuis

Wie is er nu eigenlijk in Nederland de baas? En als het gaat om de digitale wereld? Vanaf einde jaren ’90 betoogden digi-enthousiastelingen dat staatsmacht er op het grenzeloze internet niet meer toe zou doen. De staat is nu definitief terug, en dan vooral in EU-verband. Lees bijvoorbeeld de strategie van de Europese Commissie: Een Europa dat klaar is voor het digitale tijdperk. Of luister naar Europarlementariër Bart Groothuis in de tweede aflevering van Digitaal Europa.

Digitaal Europa - Digitale soevereiniteit met Bart Groothuis

'Wat wordt er bedoeld met digitale soevereiniteit voor Europa?'
'Waarom zouden wij digitale soevereiniteit nog nastreven?'
'Hoe zit het met de Nederlandse digitale soevereiniteit?
Moeten we niet eerst sterker worden in eigen huis?'
Welkom bij Digitaal Europa. Ik ben Robin Rotman en in deze podcast
van de Rijksacademie voor Digitalisering en Informatisering Overheid
bespreek ik met deskundigen de Europese aanpak van digitale dossiers.
'Overal waar geopolitiek misbruikt kan worden, waarbij je afhankelijkheden
de drukpunten van autoritaire regimes in onze samenleving vergroot,
moeten we onze afhankelijkheden verkleinen. Significant, heel snel.'
ROTMAN: Vandaag hebben we het over digitale soevereiniteit.
Te gast is Bart Groothuis, VVD-europarlementariër.
Elke aflevering neem ik vragen mee van een team ambtenaren
die vanuit hun rol interesse hebben in digitale thema's.
Dat zijn Loulou Hanna, Nina Krijnen en Ron Roozendaal.
Leuk dat ik hier mag zijn bij jou thuis, Bart.
Ik heb die vragen voor je meegenomen, maar eerst even digitale soevereiniteit.
Dat gaat over zelfbeschikking en controle over onze data.
Moet ik daaraan denken?
-Ja, ik denk dat dat wel raakt
aan wat we ermee willen zeggen.
Maar vooral laat het ook meteen zien, als het over data gaat, hoe moeilijk dat is,
want je hebt geen volledige zelfbeschikking over die data.
Ten eerste omdat je vaak in andermans cloud en internet zit te werken.
Kijk, op Facebook bevind je je niet op internet, je bevindt je bij Facebook
in hun deeltje van het internet.
Het is heel erg lastig meteen om aan te geven
hoe problematisch dat begrip is, maar het gaat inderdaad
over controle van essentiële data waar je wat over te zeggen wil hebben.
En het heeft ook wel te maken
met een soort bestuurlijk model van het internet.
ROTMAN: Oké, dus je hebt digitale soevereiniteit
op een soort Europees niveau.
We kunnen op een Europees niveau digitaal soeverein zijn,
een Nederlands niveau, maar ook jij en ik als individuen
kunnen een bepaalde soevereiniteit hebben.
Zullen we eerst luisteren naar de vraag van Nina Krijnen?
Zij is als beleidsmedewerker bij de Taskforce Cyber
van het ministerie van Buitenlandse Zaken.
'Wat wordt er bedoeld met digitale soevereiniteit voor Europa?
Alleen een onafhankelijke techindustrie
of ook op het gebied van internetregulering?
Is dit verenigbaar met de visie van een open, vrij, veilig
en interoperabel internet dat Nederland en Europa nastreven?'
Dit zijn een paar vragen achter mekaar. Eerst even die eerste:
Wat wordt er bedoeld met een digitale soevereiniteit in de Europese context?
GROOTHUIS: Wat Nina zegt, klopt.
We hebben... De Europese cloudmarkt bijvoorbeeld,
waar wij onze data opslaan, is goeddeels Amerikaans.
Misschien wel voor 80% in handen van drie grote partijen.
Die hebben zo'n grote voorsprong op alle Europese partijen of anderen
dat ze in wezen ook elk bedrijf in Nederland of Europa
dat iets wil met AI of opslag,
dan ben je afhankelijk van één van die drie partijen.
Waarom? Omdat ze de software hebben, de cloud, het ontwikkelingsvermogen,
de innovatiekracht die een ondernemer verder kan helpen.
Dus als je iets met AI wil of je wil echt verder gaan,
dingen doen met je data als bedrijf, en de meeste bedrijven willen dat,
ben je dus op één van die drie bedrijven aangewezen
en dat is op zich geen probleem, vind ik.
Ik vind wel dat je van sommige data moet zeggen:
Die moet je dichter bij huis houden.
Dat gaat over data van defensie, data van de diensten bijvoorbeeld.
Maar dat gaat ook over sommige zorgdata.
Daar moet je goed over nadenken
of je die in een willekeurige cloudomgeving,
een cloud is gewoon andermans computer, wil laten zwerven of niet.
Ik vind het erg belangrijk om daar goed over na te denken.
Daarnaast zegt Nina iets verstandigs: gaat het ook over internet governance?
Nou, dat is van mijn hobby's.
ROTMAN: Een hobby van jou?
-Ja, besteed ik veel tijd aan in Brussel
om dat op het goede pad te houden. Kijk, de basis van het denken:
Waarom hebben we deze podcast? Waarom praten we hierover?
Waarom stellen mensen die vragen? Dat is een soort trend in Brussel,
maar ik denk ook breder,
die voortkomt uit de Franse strategische soevereiniteitsdoctrine.
Dat is een doctrine die komt uit het nucleaire denken.
Ze willen altijd soeverein kunnen beslissen.
Daarom hebben ze afschrikkingswapens,
waardoor niemand Frankrijk vertelt wat ze doet.
Ze willen volledig zelfstandig kunnen opereren op het wereldtoneel.
En dat projecteren zij op diverse beleidsterreinen.
Of het nou gaat om rare earth materials of olie en gas.
Maar het gaat dus ook om data en we zitten steeds meer in de fase
dat de Fransen hun idee van strategische soevereiniteit projecteren op Europa.
Ik denk dat je erg moet oppassen met zo'n ontwikkeling.
Het gaat dan al heel snel in de sfeer van protectionisme.
Het gaat al snel in de sfeer van: we willen alleen maar Franse bedrijven.
We willen Franse controle, of vul daarvoor 'Europese controle' in.
Dus je komt snel in een fuik waar je zegt:
'Die Amerikaanse bedrijven zijn niet meer welkom.'
Of je komt in een fuik waar je zegt: 'die internet governance,
moeten we dichter bij huis organiseren.'
En: 'We hebben bijvoorbeeld een Europese IANA nodig.'
Dat is een Europese administratieve eenheid
die het internet voor ons voor mekaar maken.
'Europese root level-DNS die je zelf wil reguleren.'
Maar van al die dingen ben ik fel tegenstander.
Ik ben heel fel tegenstander van dat Europa denkt
dat wij een deeltje van ons internet kunnen bewerkstelligen.
ROTMAN: Kunnen afbakenen en van de rest van de wereld kunnen afsluiten.
GROOTHUIS: Dat kan niet. Zelfs dat rare Chinese internet dat helemaal
is afgesloten, is afhankelijk van het mondiale internet zoals dat functioneert.
Dus als je echt de Franse ideeën door wil voeren,
waar ik veel over hoor in de wandelgangen in Brussel,
wat ik dan doe is tegengas geven, ook achter de schermen.
Ik spreek veel af, volgende week in Straatsburg ook
met mensen van de Europese Commissie om te zeggen wat ik vind
en hoe onverstandig het is om internet governance te Europees te maken.
Het is een mondiaal systeem en dat moet je zo houden. Vrij verkeer van data.
Een pakketje van A naar B sturen, irrespective of the content,
en de governance die daarmee gepaard gaat, het multistakeholder-model
dat draag ik echt altijd uit.
-Oké, nu hoor ik je zeggen:
Er is een soort Franse blik op soevereiniteit.
Er is tegelijkertijd de signalering dat er een x-aantal
of drie grote partijen zijn waar wij in Europa van afhankelijk zijn
en die partijen zitten niet in Europa.
Daar zit iets in van: dat vind ik misschien niet zo handig.
Je bent tegen dat protectionisme.
Waar staat Bart Groothuis dan voor als het gaat over die digitale soevereiniteit?
Waar zit jouw corebusiness dan? Waar manoeuvreer jij dan eigenlijk?
GROOTHUIS: Ik ga tegen de huidige trend in die zegt:
'We moeten gevoelige data in Europa houden,
geopereerd door Europese providers, cloudbedrijven, technologie,
door mensen met een Europees paspoort. Die trend zie je nu,
bijvoorbeeld in de certificering van de Europese cloud.
ROTMAN: Gaia-X-project.
-Nee, dat is een project wat ook loopt.
Dat is 'n soort standaard waarin de Europese cloud moet functioneren,
maar de Fransen hebben daar nog weinig vertrouwen in.
We gaan nu richting certificering van cloud, cybersecurity-certificering.
Komt voort uit de Cyber Security Act van 2017.
Zijn in wezen technocratische discussies, maar die zijn hoog politiek.
Het probleem is dat daar weinig belangstelling voor is van journalisten,
maar het is hoog politiek,
omdat wat Europa, zeker onder de leiding van het Franse voorzitterschap
probeert te doen, is de controle op die gevoelige data,
je hebt drie categorieën data, basis, midden en hoog,
en die hoge categorie, zorgdata, nucleair,
dat je die in Europa houdt door Europese cloudproviders
met mensen met een Europees paspoort die daarbij kunnen. Ik ben daar op tegen.
Ik vind dat dat een Amerikaanse cloudprovider prima diensten kan leveren.
Het gaat erom welke assurance, categorieën en risico's kun je mitigeren?
Hoe doe je dat? Welke controls heb je daarbij?
Ik kom uit die cybersecurity-wereld. Dat is prima te doen.
Ik wantrouw de Amerikanen niet en ik denk dat hier het Franse idee
van digitale strategische soevereiniteit volledig doordraait.
ROTMAN: De manier waarop we naar de ontwikkelingen in 5G kijken:
Daar zijn het de Duitsers of zo die zeggen:
'Het kan ons niet schelen waar het vandaan komt,
we hebben bepaalde maatstaven, normen en waarden. Als een partij,
al komen ze uit China, eraan voldoet en wij vertrouwen dat,
maakt het ons niet zo veel uit waar dat vandaan komt. Dat is de andere kant.
GROOTHUIS: Dat is echt belachelijk. Het is niet zo
dat we Amerika met China gelijk kunnen stellen.
Amerika heeft geen offensief spionageprogramma tegen ons gericht
op het stelen van intellectueel eigendom, beïnvloeden van verkiezingen,
breed positioneren op sabotage et cetera. Het is geen geopolitieke vijand.
Als je naar kijkt naar China
en ik denk ook wel sommige Russische soft- en hardwareproviders,
daar moet je echt naar kijken van:
Wil je die in het zenuwcentrum hebben van je toekomstige samenleving,
een 5G-provider? 5G is anders dan 4G. Als jij een antenne hebt
waar wij straks hier bijvoorbeeld in mijn huis mee gaan bellen
dan prik je die antenne in, die zet je hier fysiek op.
Mijn telefoon maakt connectie en zo kan ik bellen met andere mensen.
Maar in 5G is die hele antennelaag gevirtualiseerd.
Het is nieuwe architectuur.
Dat betekent dat het softwarematig is gedefinieerd hoe die antenne eruitziet
en dat betekent dus dat er één provider is van de antennes.
Waar je bijvoorbeeld op het Binnenhof nu nog kunt zeggen 'we hebben Cisco'
en ergens op platteland doen we Huawei
en dan maken we een differentiatie en we kijken heel goed naar netwerkverkeer,
zodat we cybersecurity-wise het risico mitigeren,
kan dat straks niet meer bij 5G.
Daar heb je dus een gevirtualiseerde laag antennes.
Eén provider en bovendien je voor de uitrol, innovatie,
maar ook voor het onderhoud en ook voor alle nieuwe dataservices
afhankelijk van die partij.
Als het dan een partij is, een Chinese staatspartij,
die een offensief spionageprogramma heeft tegen jouw land,
dan moet je heel goed nadenken over wat je wil doen.
Wat ik wil is dat Europa nadenkt over hoe je met deze partijen omgaat.
Er is een 5G Toolbox gemaakt,
een korte klap om te zeggen:
We willen geen risky vendors in onze IT-infrastructuur als het gaat om 5G.
Waar je naartoe moet, is dat we voor de bredere samenleving
harde wetgeving gaan maken en daar is Brussel hopelijk mee bezig.
Ik roep in ieder geval de commissie daartoe op,
om te zeggen: we hebben heldere wetgeving nodig
voor elk bedrijf in Europa die zegt: wanneer plaats je op welk moment
in welk onderdeel van je architectuur welke gevaarlijke vendoren?
Welke dozen soft- en hardware wil je wel of niet kwijt
in het zenuwcentrum van je maatschappij?
Daar draait de discussie in Brussel nu om
en daar hou ik me heel erg mee bezig.
ROTMAN: In die discussie kun je dus ook kwijt
of de uitkomst zou kunnen zijn: hierin vertegenwoordig je
de waarden en normen van Europa. Wat denken wij? Wat willen wij?
Wat vinden wij belangrijk? Hoe kijken we naar privacy?
Wat voor eisen stellen wij aan security?
Kan je al die dingen daarin coveren?
-Ik denk dat je kijkt naar twee dingen:
naar technische factoren, zit de soft- en hardware goed in elkaar
en zitten er backdoors in. Maar dat is niet de echte discussie,
want een backdoor kun je elk gewenst moment injecteren
als je een software-update doet.
En bovendien is de code heel moeilijk te controleren.
Een gemiddelde routerdoos heeft 300 miljoen regels code
voor je die gereviewd hebt. Ik vind dat allemaal...
Je kijkt niet alleen naar technische, maar ook niet-technische factoren.
Dan noem ik bijvoorbeeld: in 2017 zijn er wetten in China aangenomen,
in 2021 ook nog,
die erop toezien dat elk Chinees bedrijf moet voldoen aan dataverzoeken
vanuit de staat, van de inlichtingengemeenschap bijvoorbeeld.
Betekent dus dat als jij opereert onder de vlag van Huawei of ZTE
die hier in de kern van je zenuwcentrum, je samenleving
diensten aanbieden en de Chinese staat zou vragen
dat ze daaraan moeten voldoen. Zelfs zegt Huawei dat dat niet klopt
en dat het geen extraterritoriale interpretatie is.
Ik koop daar niks voor, ik geloof het ook niet
en bovendien is niet eens het grootste risico,
afgezien van een grote overlap tussen personeel wat bij het leger heeft gewerkt
en nu bij Huawei en ZTE werkt. Dat is uitgebreid gedocumenteerd.
Dan gaat het niet alleen om witting,
dat je weet dat sprake is van spionage of medewerking van de Chinese staat,
maar ook unwitting, dat er mensen zijn die vroeger nog bij die dienst werkten
en nu zonder medeweten van de CEO
data afstaan of andere zaken doen die het daglicht niet kunnen verdragen.
Ik vind het een te groot risico. Ik wil daar harde wetgeving voor.
ROTMAN: Je benoemt nu wat risico's als het gaat om de Chinese kant,
je benoemt de Franse aanpak die jij ook niet oké vindt,
want dat neigt weer een beetje naar protectionisme.
Als het dan gaat over een waarborging van een Europese digitale soevereiniteit,
in welke hoek zoek jij dan oplossingen?
Is dat alleen de wetgeving?
-Ik denk dat we te maken hebben
met een trend waarin we meer gaan samenwerken met likeminded landen
die belangrijke infrastructuur
en belangrijke soft- en hardware gaan voorzien in onze maatschappij.
Ik denk dat dat belangrijk is, omdat je ook gaat zien dat autocratische landen
steeds vaker de technologie zullen gebruiken om hun doelen te bereiken.
Kijk, veel autocratische landen hoeven niet in conflict te zijn
om de militaire middelen te stationeren. Rusland hoeft geen raketten
af te schieten voordat ze in conflict zijn met een land.
In de ogen van Rusland en China zijn we al lang in conflict.
Een conflict over hoe we de wereld ordenen en wie de baas is over wie.
En de ambities van de Chinezen liegen er niet om.
Ik denk dat je moet nadenken over welke drukpunten
die autoritaire regimes hebben in ons land.
En op welke manier hebben ze dat ook in technologie?
Technologie is geopolitiek geworden. Waar vroeger geografie dat was,
zat China heel ver van ons af. Met technologie kom je in de huiskamer,
in het zenuwcentrum van de samenleving
en je moet goed nadenken wat dat betekent voor de toekomst van ons land.
Ik probeer dat te doen door te zeggen: we hebben wetten nodig.
ROTMAN: Dat is ook een soort... Eurocommissaris Breton zegt toch ook:
'De degene die de technologie mastert, mastert ook de geopolitiek.'
GROOTHUIS: Zo is dat. En dat heeft ie gestolen en ik ook
van Robert Kaplan, prachtig boek, 'Moesson'.
Maar dat gaat erom... India en China bijvoorbeeld
zijn twee verschillende samenlevingen, maatschappij en cultuur.
India is op land gericht, China op de zee. Het zijn verschillende beschavingen
en dat heeft te maken met geografie,
maar nu komen ze in elkaars vaarwater, letterlijk en figuurlijk
en dat heeft te maken met technologie.
Technologie is het nieuwe geopolitiek.
-Het middel, het front
waarover je mekaar vindt en conflict hebt.
-Daar besteed ik in Brussel
80% van mijn tijd aan.
-Ik heb een vraag van Ron Roozendaal.
Hij is kwartiermaker, generaal digitalisering bij Binnenlandse Zaken.
Hij gaat even terug naar je eerste opmerking over de techreuzen.
'Waarom zouden wij digitale soevereiniteit nog nastreven?
Heeft dat nog zin nu al onze gegevens
toch al in de cloud zitten bij Facebook, Google of China?'
GROOTHUIS: Een goeie vraag van Ron. Op dit moment wordt er gedebatteerd
achter de schermen over de 'European cloud certification scheme',
een cyber certification scheme voor cloud, waar het net over ging.
Dan is de vraag: moet je zaken strikt in Europa willen houden,
niet eens in Nederland, maar in Europa willen houden?
Geoperationaliseerd door Europese bedrijven.
Dat betekent dat Amerikaanse bedrijven als Microsoft, IBM, Google en AWS
dan hun technologie zullen moeten licensen,
zoals we dat noemen, met een licensemodel aan Europese bedrijven.
Die gaan vervolgens in Europese datacentra
de data opslaan voor een bepaalde categorie gevoelige data.
In die datacentra werken dan Europeanen met een Europees paspoort.
Ik vind dat veel te ver gaan. In Frankrijk doen ze dit al.
We moeten met de Amerikanen kunnen samenwerken.
We hebben te maken met de ontwikkeling van een nieuw privacyshield,
waarbij de Amerikanen zeggen: 'De GDPR,
de algemene verordening gegevensbescherming,
gaan wij ook respecteren. Wij komen jullie vergaand tegemoet.'
Daar moeten we op inzetten,
maar niet op een volledige europeanisering van alles.
Ik denk dat we prima kunnen werken met Amerikaanse cloudbedrijven
en ik vind het onzinnig om te zeggen:
'We gaan met regels proberen dat protectionistisch te maken
zodat onze bedrijven meer kans krijgen.'
Ik vind dat echt een vorm van protectionisme waarbij de kosten
voor ondernemers toenemen,
waarbij het innovatievermogen niet per se gediend is.
De Amerikanen hebben ons afgetroefd en dat is prima.
Ze bieden superieure diensten aan. Laten we daar vooral gebruik van blijven maken
en ik vind het een beetje te veel doorslaan op dit moment.
ROTMAN: Je noemt nu de GDRP, volgens mij is dat een voorbeeld
van waarin Europa zelf het heft in hand neemt.
Een soort normen en waarden over hoe er met privacy omgegaan moet worden.
Dat leggen we op aan alle grote bedrijven
en je merkt dat dat wereldwijd, ook in Amerika, ineens de norm is.
Zou je zeggen, daar mogen we zelfvertrouwen uit putten?
We kunnen ook op andere terreinen de norm gaan stellen,
want er wordt daadwerkelijk geluisterd. Dan zeg jij: de Fransen moeten meedoen.
GROOTHUIS: Maar zo is het. Dat is precies wat er gebeurt op het moment
en dat is ook de kracht van Brussel, de regelzettende kracht.
Laat ik de Digital Services Act als eerste noemen,
het reguleren van de platforms, en de Digital Markets Act.
Aan het eind van Obama's tenure gaf hij een goed interview bij 60 Minutes.
'Wat is het grootste falen wat u heeft gehad in uw acht jaar
als president van Amerika?'
Hij zegt: 'Dat ik die techplatforms niet heb gereguleerd.
Ik dacht dat het voorspoed zou brengen.
Vrijheid van meningsuiting, economische voorspoed et cetera,
maar het ondermijnt in wezen onze democratische rechtsorde,
onze instituties en het vervuilt alles: de amplificatie, de gigantische schaal
op basis waarvan mensen misbruik kunnen maken van deze techplatforms
heb ik verkeerd ingeschat.' Zijn opvolger Trump wilde niet reguleren.
Biden verliest de meerderheid in de aankomende midterms in november,
dus die gaat het niet doen. Het moet vanuit Europa komen en we doen het nu.
Ik denk dat de Amerikanen het zullen overnemen.
We zien het ook bij de aanpassing van koolstofheffing, de energietransitie.
Wij gaan het doen, de Amerikanen komen ook met een koolstofheffing aan de grens
en gaan ook een soort dat ETS-emissierechten doen,
waardoor we de hele aarde meekrijgen met de energietransitie.
Ik denk de NIS2, waar ik rapporteur op was,
de cybersecurity-wetgeving voor entiteiten,
waarbij we vitale instellingen aanwijzen
en de manier hoe we dat doen en dat hele ecosysteem inrichten,
de Amerikanen volgen nauwgezet hoe we dat doen.
De Chinezen en Brazilianen et cetera ook.
We zien al veel contact met andere continenten die vragen:
Hoe hebben jullie dat gedaan? Kunnen we dat overnemen?
Dat is een soort extraterritoriale werking die vanuit Brussel komt,
omdat goed wordt nagedacht met goede mensen,
goede ambtenaren ook, die heel nauwkeurig
en langdurig nadenken over wetgeving. Het duurt mensen vaak te lang,
maar als de neuzen dezelfde kant uit staan
dan gáát Brussel.
-Voilà.
Oké, als ik jou zo hoor over die digitale soevereiniteit,
zeg je: 'We hoeven geen Europese Facebook te bouwen,
niet zelf het wiel uit te vinden.
Alle technologieën die er zijn, we gebruiken wat er is.
Het gaat over het definiëren van onze normen en waarden
en daar gaan we... We gaan dat inpakken
en mensen moeten daaraan voldoen, anders gebruiken we het niet.
Is dat dan die digitale soevereiniteit?
-Ik zou best wel
een beperkt bedrag in begrotingen willen vrijmaken om te zeggen:
'We gaan een eigen Geugel, in plaats van Google, maken.
ROTMAN: Dat dan weer wel.
-Of we doen bijvoorbeeld,
dat was geen goed voorbeeld, maar een goed voorbeeld is een eigen browser.
Alle grote browsers raken steeds meer onder controle van big tech
en ze doen steeds meer om dat als opstijgpunt voor internet te krijgen.
Alle grote bedrijven doen dat en waarom?
Omdat het verdienvermogen zit in: Bied jij 't opstijgpunt voor internet aan,
bied je ook alle zaken daarna aan.
Dat gaat om: wie controleert de data?
Wie controleert hier de data van de gebruiker?
Daar dat maak ik me veel zorgen om, dus ik zou zeggen:
Als je 100 miljoen vrijmaakt, moet je toch een eigen browser kunnen maken
op basis van open source die je in Europa min of meer
als standaard stelt voor overheid en andere instellingen.
Daarmee kun je een eind komen.
-Oké, dus het gaat ook over technologie.
GROOTHUIS: Ja, omdat de technologie in handen is van het bedrijfsleven
enkel wordt gebruikt voor datacorrelatie in zaken die wij niet willen hebben.
Als je de geest van de DMA en DSA bekijkt,
de geest van al die wetgevingen, de GDPR die je net noemt,
dan is het 'stop daarmee'. En dan zou heel gek zijn
als wij deze ontwikkeling in de technologie niet zouden aangrijpen
om ook daadwerkelijk de daad bij het woord te voegen.
Daar moet je op langere termijn over nadenken.
ROTMAN: Ik merk dat ik het een beetje lastig vind. Iets concreter:
Verschillende delen van de wereld denken anders over bepaalde technologieën,
andere normen en waarden. Is het ook een kwestie van standaardiseren?
GROOTHUIS: Spijker op z'n kop.
Tegenwoordig zie je dat er gigantisch veel effort komt
vanuit de Chinese staat om standaarden aan te passen. Waarom?
Het bepaalt het verdienvermogen. Waar komt de technologie vandaan,
maar ook de welvaart. Maar belangrijker nog:
Mag een pakketje van A naar B zoals we dat nu hebben,
zonder dat de inhoud ertoe doet of willen we dat toch verifiëren?
Moeten devices die geconnect zijn eerst geauthentiseerd worden?
Willen we weten wie erachter zit, ja of niet?
Wat mij betreft absoluut niet,
maar je ziet de Chinezen een gigantische spurt maken
op het gebied van telecommunicatie,
eigenlijk in de brede zin van technologie om standaarden te beïnvloeden.
Wat wij dan doen, is een strategie verzinnen
om dat in allerlei officiële overheidsfora te blokkeren.
Dat lukt vooralsnog heel aardig, maar het probleem is
dat veel van die standaarden ook tussen bedrijven worden afgesloten
en onze bedrijven moeten censor worden voor de overheid.
Ik hoop dat mensen die hiernaar luisteren zeggen:
'We moeten eens in gesprek met ons bedrijfsleven.
Als jullie in de gaten hebben
dat er voor ons wezenlijke dingen worden aangepast
door middel van standaarden die niet in ons belang zijn,
die de toekomstige vrijheid van meningsuiting beknotten,
die censuur bevorderen of anderszins ons verdienvermogen benadelen
wat we niet zouden moeten willen? Neem contact op met 'n loket van de overheid.'
Zorg dat bedrijven zich ook kunnen melden
dat we het naar onze hand kunnen zetten.
ROTMAN: Maar die standaarden zijn dus een soort praktische uitwerking
van de normen en waarden die je erin wil hebben, in de samenleving?
De Chinezen hebben kennelijk een duidelijk idee hoe zij de wereld zien.
Dus ze hebben misschien een duidelijker idee
hoe de overheid zich tot de burger vertegenwoordigt,
hoe de overheid zich tot het bedrijfsleven verhoudt
en bedrijven tegenover burgers? Die hebben daar een heel idee bij,
misschien heel helder uitgewerkt.
Dus wij moeten ook op zoek naar een...
-Eigen strategie.
ROTMAN: Onze eigen identiteit bijna. Wie zijn wij dan?
Wat vinden we werkelijk belangrijk? Dat zit daar dan achter.
GROOTHUIS: Een vrij internet, stabiliteit op lange termijn,
vrijheid van meningsuiting, geen censuur,
vrije pakketjes data die kunnen floaten, daar het gaat het ons om.
Ik denk dat we hier naïef in zijn.
De 'China standards 2035'-strategie is vrij te downloaden.
Lees het en je weet precies waar ze mee bezig zijn.
Wij moeten daar iets tegenoverstellen en rap.
ROTMAN: Een vraag van Loulou Hanna,
Rijks I-trainee bij het ministerie van Infrastructuur en Waterstaat:
'Hoe zit het met de Nederlandse digitale soevereiniteit?
Zijn we er al klaar voor om mee te denken
met Europese digitale soevereiniteit?
Moeten we niet eerst sterker worden in eigen huis?'
GROOTHUIS: Zeker moeten we dat worden.
Als het gaat om hele gevoelige data in je ziekenhuis,
rondom nucleaire installaties, misschien Defensie, de diensten.
En het gebeurt ook.
Er zijn veel certificeringen in de defensie-industrie bijvoorbeeld
dat je niet alles zomaar in een buitenlandse cloud mag zetten,
dat je on premises servers moet hebben waar je data in stalt.
Ik denk dat het verstandig is om daar goed over na te denken.
Van de andere kant moeten we de innovatie volledig omarmen.
Die komt vanuit andere werelddelen
en dat brengt onze economie en ondernemers verder.
Alles op het gebied van AI en kunstmatige intelligentie,
datacorrelatie en big data, robotisering en nanotechnologie
en biotechnologie en al die dingen samenbrengen,
richting misschien wel vormen van kunstmatig leven et cetera.
Je moet er niet aan denken dat dat wordt afgestompt, afgeremd,
omdat we allerlei soevereiniteitsbepalingen hebben
die onze ontwikkeling remmen.
-Daar zit die spanning.
Heb jij het gevoel dat we die kritieke processen in Nederland
wel goed hebben afgeschermd? Want je zegt: daar moeten we over nadenken.
Hebben we dat in orde?
-Ik kom van Defensie vandaan.
Ik denk dat Defensie zo'n 600 bedrijven goed monitort.
De ABDO is een bepaalde regeling.
Wil je bij Defensie zakendoen krijg je contractueel voorwaarden opgesteld
waaraan je moet voldoen, ook in de sfeer van soevereiniteitseisen
en dat wordt ook gehandhaafd
en de ABDO kan een voorbeeld zijn voor de rest van Nederland,
voor banken en voor andere instellingen.
Je wil een ABDO hebben, niet alleen voor de defensie-industrie,
maar voor alle industrieën, ook in de civiele sfeer,
die gevoelige diensten leveren aan de overheid bijvoorbeeld.
En dat zet ook een bepaalde norm af:
We eisen dingen in de sfeer van security, privacy, omgang met data.
Wie mogen bij die data?
Het is gezond dat je weet als instelling: Waar zitten de kroonjuwelen?
Kan ik die segmenteren van de rest van mijn netwerk?
Dat is de basis en dat wordt afgedwongen in dit soort certificering.
Ik denk dat het goed is om dat als inspiratie te gebruiken.
ROTMAN: Heb jij contact met jouw collega-politici in Den Haag,
of misschien ook gesprekken in Brussel,
dat je je gaat afvragen: Maar wat is dan...
Welke soevereiniteit moeten we in Europa oppakken?
Europa-wide, zal ik maar zeggen
en begint de soevereiniteit van individuele landen,
want als het over Defensie gaat,
lijkt me dat voor een belangrijk deel een no-brainer.
Dat doe je lokaal, maar misschien ook niet altijd.
Hoe loopt dat gesprek, zal ik zeggen?
-Laat ik twee voorbeelden noemen.
Het is altijd goed om in concreto te spreken.
Het eerste is bijvoorbeeld eIDAS,
een Europese manier hoe je je kunt identificeren.
Op dit moment, dan gaat het ook over soevereiniteit
en waar ik wel erg ben voor een progressieve agenda van Europa,
dat gaat over: als jij het internet opgaat en je gebruikt een bepaalde dienst,
dan is de norm aan het worden dat je bij big tech inlogt
en dat die je vervolgens identificeert voor het gebruikmaken van een dienst.
Ik vind, een heel klassiek-liberale gedachte, hoor,
dat de overheid je hoort te identificeren en niet een bedrijf.
Nu komt er een Europees voorstel waarin we zeggen:
Je krijgt een eigen portemonnee, een digital wallet, daar zit je data.
Van die data bepaal jij wat je deelt met big tech
en de identificatie gebeurt niet door big tech, maar door die wallet.
Vervolgens is het wel zo, in Den Haag bijvoorbeeld, die zeggen:
'We hebben toch al een BSN-nummer en DigiD?'
Dan zeg ik: dan moeten we daarover nadenken.
We hebben geen nieuw Europees nummer nodig.
We hebben ook geen vervanging van de BSN nodig,
maar we moeten wel nadenken over hoe we dit als Europa invullen,
een concreet voorbeeld. Een ander voorbeeld zit meer in de sfeer
van waar ik nu onder handel. Ik ben nu rapporteur namens onze liberale fractie
op het gebied van de Chips Act. Als we niks doen,
produceren wij nog maar 4% van alle halfgeleiders in de hele wereld.
Voor 96% zijn we afhankelijk van allerlei andere landen,
terwijl het een strategisch basisgoed is
zonder welke de interne markt niet functioneert.
ROTMAN: De denkkracht van onze machines.
GROOTHUIS: En daar zit een complex ecosysteem en supply chain aan vast
en je ziet dat het langzaam verdwijnt naar Azië.
En dan is de vraag, ook als liberaal: moet je dat nou terughalen naar Europa?
Dat kan niet helemaal. Moet je de kennis hier houden? Ik denk dat het wel kan.
Moeten we waar we echt goed in zijn verder versterken?
Ik denk dat dat een must is.
Dus we moeten veel relevanter worden voor de rest van de wereld.
Niet om alles hier te reshoren,
maar die chiptekorten lossen zich niet vanzelf op.
Er is enig ingrijpen nodig om te zorgen... Alle andere landen,
Taiwan, China, Japan, Korea, Amerika,
dat zijn de landen die er in de chipssfeer toe doen,
geven honderden miljarden staatssteun en wij doen dat niet.
En het resultaat is dat we alles verliezen.
De kennis, de infrastructuur, het ecosysteem, de productie
en dus ook krijgen we te maken met allerlei vervelende tekorten
en allerlei afhankelijkheden waarvan we denken van:
In een rule-based order kun je daarmee leven,
maar een deal-based order,
dat we toch sinds Trump, Poetin, Erdogan, Xi Jinping zien opkomen,
gaan we achter het net vissen. Dus Europa wordt wakker.
Hier is digitale soevereiniteit op z'n plaats,
maar niet om alles autonoom zelf te produceren.
Wel om relevanter te worden voor de rest van de wereld,
zodat je ook minder problemen krijgt
op het moment dat de afhankelijkheid toeneemt in een deal-based order.
Dan heb je zelf ook meer in de melk te brokkelen.
ROTMAN: Het gaat om digitale soevereiniteit.
Moet je bij elk concreet voorbeeld gaan kijken...
Bij chips zeg je: dat willen we niet.
Maar andere technologie kun je prima uit het buitenland halen.
Dus je moet constant kijken: wat vinden we belangrijk? Hoe denken we daarover?
Ik vond die digitale kluis waar je het net over had,
ik noem het nu even kluis, jij noemt het een wallet.
Ja, dat gaat nog een stapje dieper.
Dat gaat over mijn individuele digitale soevereiniteit.
Die bestaat dus ook nog.
-Ja.
ROTMAN: Dat is wel een lekker gevoel dat daar ook over nagedacht wordt.
Van wie is die data? Nou, van mij.
Dat ik het gevoel ga krijgen dat ik er zelf over ga
zonder dat het een bureaucratisch gedoe wordt.
Want dat merk je ook vaak, dat er zoveel bij komt kijken dat je ervanaf wil zijn.
Cookies is ook zo'n ding, gaat ook over soevereiniteit...
maar daar word je knettergek van.
En wie gaat er dan over die individuele soevereiniteit? Landen
of is dat ook een soort Europees ding?
-Ik wil dat de wetgever daar over nadenkt.
We hebben de Digital Markets Act.
Gaan we volgende week over stemmen in Straatsburg
en ben ik erg voor, omdat het ook dit soort wallet-achtige dingen...
Dat geeft bijvoorbeeld ook de mogelijkheid
voor een taxichauffeur bij Uber,
ik probeer even een concreet voorbeeld te verzinnen.
Die wil bijvoorbeeld van Uber naar Lyft.
Maar hij heeft allerlei recensies bij Uber gekregen
en allerlei klantcommentaren en mensen kennen hem daarvan.
Wat we nu willen doen, is zorgen dat ie z'n data mee kan nemen naar Lyft.
Dat betekent dus dat je bijvoorbeeld, wat we ook willen op termijn,
dat je van WhatsApp naar Signal kunt appen.
Dus niet binnen Whatsapp of binnen Signal, maar van en naar.
Dat betekent ook dat je een DM van Twitter naar Facebook kan sturen.
Het betekent dat er interoperabiliteit komt
zodat die platformen gaan concurreren op basis van functionaliteit
en niet op basis van: wie heeft de meeste data verzameld van de gebruiker?
Ook dat is een Amerikaans model en geen Europees model.
Het Europese model van soevereiniteit is veel meer:
In de drieslag zijn bij de Amerikanen de bedrijven de baas,
in China is de staat de baas,
maar in Brussel, in Europa, zijn de burgers de baas.
Iets van die gedachte, niet te streng doorvertaald, maar toch,
zit in alle wetgeving die we...
-In die hoek zitten wij wel wat meer.
GROOTHUIS: Wij gaan daar vol voor, maar dat is niet heel streng afgedwongen,
maar er is wel de trend en die ondersteun ik.
ROTMAN: Tot slot: ik probeer een soort concretere opsomming te krijgen
op welke terreinen... Het was een beetje 'pick up your battles', hoor ik je zeggen.
Bij de chips zeg je duidelijk 'go for it', dat moeten we zelf gaan doen.
Als je het hebt over het vormgeven van digitale soevereiniteit,
je hebt het over die wallets, moeten we ook doen,
we willen die burger belangrijk maken in de keuzes over hun eigen data.
Waar zitten nog meer battles waarvan je zegt:
'Daar zit de digitale soevereiniteit.
Daar moeten we over nadenken. Daar ga ik voor.'
GROOTHUIS: Overal waar het geopolitiek raakt,
waar het misbruikt kan worden, waarbij je afhankelijkheden,
de drukpunten van autoritaire regimes in onze samenleving vergroot,
moeten we onze afhankelijkheden verkleinen.
Significant, heel snel en dat gaat om veel dossiers.
Maar overal waar er gewoon normale competitie is,
moeten we dat kunnen doen. Ik wil niet dat Huawei volledig wordt verbannen
van de Europese markt. Prima als ze ook wat dingen aanbieden hier en daar,
maar niet in de kern van onze kritieke infrastructuur.
Ik vind het ook niks als Kaspersky wordt verbannen,
een Russisch cybersecurity en antivirus-importbedrijf.
Die biedt hele goede diensten aan,
doet ontzettend veel goed werk richting ransomwaregroeperingen,
helpt politiediensten in Europa om crime te bevechten.
En daar moet je niet te radicaal in zijn.
Je moet zorgen dat je op een nette manier met dat soort bedrijven omgaat...
Maar vraag je mij: kan Kaspersky de antivirussoftware leveren
in ons ministerie van Buitenlandse of Binnenlandse Zaken? Tuurlijk niet.
Dat was een van de eerste dingen waar ik op ingezette toen ik bij Defensie zat,
want dat was het geval destijds.
Dus dat probeer ik ook uit te leggen aan Kaspersky en Huawei:
'We zijn niet anti-China of anti-Rusland,
maar we zijn wel bezig met hetzelfde waar jullie mee bezig zijn.
Let op uw zaak. Wij hebben ook geen access.'
En als je kijkt naar Brussel hoe we wetten maken:
We hebben tegenwoordig public tenders, die worden gespiegeld.
Hebben de Europese bedrijven geen toegang op de Chinese markt,
krijgen Chinese bedrijven geen toegang op onze markt.
ROTMAN: Toch dat protectionisme.
-Nee, het is een level playing field,
en hetzelfde geldt voor foreign subsidies, is gisteren aangenomen.
Vannacht is daar een deal gesloten, mijn collega Catharina Rinzema was daarbij.
Met Vestager hebben we een schitterende deal gesloten.
Heb je onheus staatsteun gekregen,
ben je niet welkom om mee te concurreren op onze markt.
Hetzelfde geldt voor de Foreign Direct Investment Screening,
waar Nederland ook om gevraagd heeft, met dank aan EZK
en ook wij als VVD hebben daar veel moeite in gestoken.
Heb jij als China of Rusland in een moeilijke tijd waar we nu in zitten,
sommige bedrijven met de lage solvabiliteit, de mogelijkheid
om allerlei toekomstig verdienvermogen over te nemen,
dan willen we dat nog even extra toetsen. Is dat wel in ons belang?
Ik denk dat het gezond is en verstandig is dat wij goed nadenken
over ons verdienvermogen en veiligheid op de lange termijn.
En als technologie geopolitiek is geworden,
dan is technologie het battlefield, politiek gezien, van de toekomst
en ik hoop ook dat ik dat meer kan uitdragen.
Ik zet me daar in ieder geval elke dag voor in.
ROTMAN: Ik merk het en ik wens je veel succes om dit te blijven doen.
Dank je wel. Bart Groothuis, VVD-europarlementariër.
Dank ook aan Loulou Hanna, Nina Krijnen en Ron Roozendaal.
Ook in de andere afleveringen van deze serie
neem ik vragen van dit drietal mee.
Meer weten? Ga dan naar it-academieoverheid.nl
of je favoriete podcastapp. Dank je wel.

Digitaal Europa - AI-act met Jos van der Wijst

Zijn computers beter dan mensen? Zeker! Op specifieke plekken in ieder geval, zoals aan het schaakbord en bij een spelletje Go. Maar is dat wel de goede vraag? Hoe beter we algoritmes kunnen maken en uitvoeren, hoe meer we ons best kunnen doen om artificiële intelligentie zo te maken dat we daarmee mensen ondersteunen. Luister naar Jos van der Wijst, lid van de werkgroep Mensgerichte AI van de Nederlandse AI Coalitie.

Digitaal Europa - AI-act met Jos van der Wijst

'Welk probleem lost de AI Act eigenlijk op?'
'De AI Act kent een brede definitie van AI. Wat vind jij daarvan?
Welke uitdagingen gaan gepaard met de ontwikkeling van AI?'
Welkom bij Digitaal Europa. Ik ben Robin Rotman en in deze podcast
van de Rijksacademie voor Digitalisering en Informatisering Overheid
bespreek ik met deskundigen de Europese aanpak van digitale dossiers.
'Zelf zou ik het te ver vinden gaan op moment dat de techniek
beslissingen gaat nemen over mensen zonder dat de mens daarbij betrokken is.
Dat is een nachtmerriescenario.'
Vandaag hebben we het over de AI Act. Te gast: Jos van der Wijst.
Hij is partner bij BG.legal en is gespecialiseerd in IT en recht.
En je bent ook nog betrokken bij de AI Coalitie.
VD WIJST: De Nederlandse AI Coalitie.
-En wat doe jij dan daar?
Ik coördineer de activiteiten op het punt van juridische aspecten van AI.
ROTMAN: [ironisch] Verrassend. We gaan het vandaag hebben over de AI Act.
Dat is Brusselse regelgeving, die wordt over Europa uitgestrooid.
We gaan er in Nederland nog wat van vinden.
We gaan eens even kijken: wat bedoelen we daarmee?
Wat kunnen en moeten we ermee?
Is het goed georganiseerd? Hebben we er nog invloed op?
Ik heb een paar vragen meegenomen
van Loulou Hanna, Nina Krijnen en Ron Roozendaal.
Dat zijn ambtenaren vanuit allerlei geledingen
en we kijken hoever we komen.
Maar eerst toch eventjes: die AI Act,
wat wordt daar nou precies in geregeld?
VD WIJST: De AI Act, of de AI-verordening,
daar worden regels in vastgelegd waar AI-toepassingen aan moeten voldoen.
Juridisch, ethisch, robuust.
Op verschillende aspecten wordt bepaald: waar moet 'n AI-toepassing aan voldoen?
ROTMAN: En gaat dat over bijvoorbeeld bias
waar die niet mag voorkomen? Gaat het over privacy?
Waar gaat dat dan over? Kun je iets concreter zijn?
VD WIJST: Het gaat over al die aspecten. Wat we willen voorkomen,
is dat een AI-toepassing schade toebrengt aan mensen.
Vandaar dat we in Europa ook kiezen voor de human centric AI,
op de mens gebaseerde AI. We willen voorkomen dat die AI-toepassingen
daar schade aan toebrengen.
En daar moeten regels en duidelijkheid voor komen.
ROTMAN: De Europese Commissie heeft dit vorig jaar geïntroduceerd,
na lang wikken en wegen en een hoop onderhandelen,
en nu mogen de lidstaten daar wat van vinden.
In november gaat de Tweede Kamer daarover overleggen.
VD WIJST: Ik geloof van wel. Inmiddels hebben de Europese regeringen
daar al op gereageerd.
Het Europese Parlement heeft er al op gereageerd.
Drie dagen is het amendement op het voorstel.
Dat moet uiteindelijk allemaal tot elkaar gaan komen
en dan moet er één compromistekst voor komen.
Ik heb begrepen dat de verwachting is dat in de loop van 2023
die tekst er moet komen.
ROTMAN: Nu ben jij natuurlijk jurist en betrokken bij de AI Coalitie.
Dus je bent ook betrokken bij het Nederlandse AI-beleid
en wat voor kansen het biedt voor de economie. Jij zit erbovenop.
Je hebt dat ding helemaal doorgespit. Van voor naar achter.
Wat valt jou op? Zijn er dingen waarvan je denkt 'niet zo lekker,
daar moeten we echt nog iets mee'?
-Nou, eigenlijk voel ik me
best wel comfortabel bij wat er ligt. Natuurlijk kan het altijd beter.
Er zijn goede voorstellen gedaan om het te verbeteren en verduidelijken.
Maar in principe vind ik dat wat er ligt, daar ben ik erg blij mee.
Het zet een streep in het zand en daar waren we naar op zoek.
ROTMAN: Streep in het zand. Ik heb vragen meegenomen.
De eerste is van Ron Roozendaal.
Hij is kwartiermaker, plaatsvervangend directeur-generaal digitalisering
bij het ministerie van Binnenlandse Zaken en hij heeft een vraag:
'Welk probleem lost de AI Act eigenlijk op?'
ROTMAN: Nou, ter zake.
VD WIJST: Met name lost het op dat er nog veel vragen zijn over:
Wat mag een AI-toepassing? Waar moet die aan voldoen?
Dat lost de AI Act op, omdat die heel duidelijk formuleert
waar een AI-toepassing aan moet voldoen.
Er zijn nu al regels waar het aan moet voldoen,
er zijn mensenrechtenverdragen, er is een AVG,
maar dat neemt niet weg dat er toch nog veel lacunes zijn
en daar moet deze AI-vordering in gaan voorzien.
ROTMAN: Noem eens wat lacunes waarvan jij zegt:
'Daar is gewoon ruis over in de samenleving'.
Over AI. Misschien bij overheden, bij gebruikers,
bedrijven ontwikkelen natuurlijk al die software.
Wat zijn dan die lacunes?
VD WIJST: Er zijn vragen over welke AI-toepassingen mogen en welke niet.
Deze AI-vordering geeft ook heel duidelijk aan
wat voor AI-toepassingen verboden worden.
Bijvoorbeeld een AI-toepassing zoals in China, de social scoring,
dat je op basis van je gedrag punten krijgt
en dat daar bepaalde privileges of bepaalde verboden aan gekoppeld zijn.
Dat willen per se niet. Dit is een van de dingen die de AI-vordering regelt.
Wat mag wel? Wat mag niet?
-Dit vind ik een mooie.
Jij gaat nu gelijk door. Maar toch, dat is duidelijk,
die kennen we natuurlijk. We hebben allemaal 'Black mirror' gekeken.
Het zijn van die tot de verbeelding sprekende dingen,
social scoring system. Dat willen wij hier niet.
Noem nog eens wat. Is dat misschien ook gezichtsherkenning in z'n algemeenheid?
VD WIJST: Ja, maar dat is een AI-toepassing
die waarschijnlijk in de high risk-categorie valt.
Dus mag wel, maar onder bepaalde voorwaarden.
En dat is wat deze AI-vordering ook geeft.
Die geeft aan: als we vinden dat een bepaalde AI-toepassing
in een high risk-categorie valt,
aan wat voor voorwaarden moet die dan voldoen en blijven voldoen?
Dus de hele levensduur van een AI-toepassing
daarvan moet je in de gaten houden
of die nog steeds aan de voorwaarden voldoet.
ROTMAN: Ze noemen vier categorieën, geloof ik.
Dus er is ook ruimte om in de nationale parlementen vervolgens te gaan bekijken:
'Wil de politie met gezichtsherkenning gaan werken, wat nu nog niet gebeurt,
dan zijn er voorwaarden. Als je ermee wil werken, kan het wel,
mits goed aan deze voorwaarden voldaan.' Zoiets?
VD WIJST: Klopt helemaal. En wat ik heel goed vind in dit voorstel
is dat die definitie van 'wat zijn nu die high risk-toepassingen',
dat blijft flexibel. Dat is geregeld in een bijlage
en die kan dus makkelijk worden aangepast als daar aanleiding voor is.
Daar kunnen dingen vanaf gehaald worden of worden toegevoegd,
omdat we niet weten wat er allemaal aan toepassingen mogelijk gaat worden
de komende jaren.
ROTMAN: En wat zijn dan die high risks in die categorie?
Waar moet ik dan aan denken?
-Bijvoorbeeld een toepassing
in het onderwijs op basis waarvan een kind een bepaald profiel krijgt
en een bepaalde richting in wordt geadviseerd.
Veel toepassingen in het onderwijs zijn per definitie high risk.
Maar ook facial recognition, waar je het net over had.
In bepaalde situaties mag je dat wel gebruiken,
maar dat is een high risk-toepassing
en dus moet dat aan bepaalde voorwaarden voldoen.
Dus op verschillende terreinen, onderwijs, health
zitten toepassingen in die high risk-toepassing.
ROTMAN: Ron Roozendaal werkt bij het ministerie van Binnenlandse Zaken.
Overheden willen graag vaak met slimme technologie werken
om analyses te maken, om te bepalen wie wel of geen recht heeft op een uitkering.
Daar worden mooie slagen gemaakt. Er gaan ook vaak veel dingen fout.
Als Ron nou met zijn team of met medewerkers
of misschien het hele ministerie het gevoel hebben:
'We hebben weer iets tofs bedacht met AI, met slimme software.'
Wat zijn daar dan de high risks, de risico's?
Wat zijn dan voor zo'n ministerie
de voorwaarden om ermee aan de slag te gaan?
VD WIJST: Bijvoorbeeld op het moment dat die toepassingen
beslissingen gaan nemen over mensen, bijvoorbeeld de toeslagenaffaire.
ROTMAN: Het T-woord is weer gevallen, ja ja.
VD WIJST: En er zijn ook voorbeelden van het opsporen van bijstandsfraude.
Dat zijn op zich doelen waar we allemaal wel achter staan
en daar kan een AI-toepassing ontzettend behulpzaam bij zijn.
Alleen dat heeft wel in zich dat het risico's met zich brengt
en dus moet je daar heel zorgvuldig in zijn.
Dat betekent dat het algoritme goed moet zijn,
dat het goed getraind moet zijn, dat de mens altijd
daar een belangrijke vinger in de pap moet hebben.
ROTMAN: De mens moet aan het eind van de rit
de verantwoordelijkheid houden en de keuze maken:
Geen 'computer says no'-taferelen.
-Exact.
Dat betekent zowel in het proces van het ontwerpen van het algoritme
en het trainen van modellen alsook in de uitvoering
je daar constant moet kijken: valt dit nog steeds binnen de regels?
ROTMAN: Wat voor probleem lost het voor mij op als argeloze burger?
VD WIJST: Als het goed is, moet jij hierdoor vertrouwen krijgen
dat een AI-toepassing wordt gebruikt, dat dat veilig is
en dat er goed is nagedacht of je privacy is beschermd en of er geen bias in zit.
Dus het moet vertrouwen geven in het gebruik van AI-toepassingen.
ROTMAN: Nu hebben wij in Nederland, maar ook in Europa, gewoon onze wetten.
Wij hebben onze grondrechten, waarden en normen.
Is dat niet voldoende,
als we nieuwe technologie introduceren of er is een toepassing
en er is gedoe over dat de rechter deze toepassing toetst
aan de grondrechten die we al hadden, privacy, discriminatie...
Waarom dan toch nog een nieuwe act die gaat over AI?
VD WIJST: Omdat er aspecten zijn aan een AI-toepassing
die nu niet in die wetten is geregeld.
Bijvoorbeeld de kwaliteit van een AI-toepassing of...
Dat is nu nog niet geregeld
en met zo'n AI Act zou je wel tools krijgen om dat te gaan toetsen.
Die AI Act kun je vergelijken met een productveiligheidsregel.
Om een veilig product te hebben, moet het aan bepaalde vereisten voldoen
en met deze AI Act wordt daar extra invulling aan gegeven.
Dus er wordt meer handvat gegeven om daar wat mee te doen.
ROTMAN: We gaan naar Loulou Hanna, Rijks I-trainee
bij Infrastructuur en Waterstaat.
'De AI Act kent een brede definitie van AI. Wat vind jij daarvan?'
VD WIJST: Dat klopt inderdaad. Daar is ook veel kritiek op geweest.
De definitie is nu zo ruim dat veel data scientists die ernaar kijken, zeggen:
'Zaken die wij nu niet als AI zouden benoemen, vallen wel onder de definitie...
in deze AI Act.'
ROTMAN: Wat is dan de definitie die nu gehanteerd wordt?
Het is een hele technische definitie, maar het komt erop neer
dat alles waar software voorspellingen doet, dat dat er al onder valt.
En daarvan zeggen dan...
Ik ben geen datascientist of techneut,
maar die zeggen dat dat eigenlijk te ruim is en die willen dat dat beperkt wordt.
ROTMAN: Ben jij het daarmee eens?
-Dat vind ik heel lastig.
Ik doe het met de definitie die er is, ik heb daar niet echt een opvatting over.
Ik denk wel dat een wet werkbaar moet zijn.
Dus op het moment dat het veld aangeeft dat de definitie zo ruim is,
eigenlijk veel te ruim, moet je daar wel iets mee doen.
ROTMAN: Want ze zeggen misschien: dit is meer een definitie van een algoritme.
Het gaat niet zozeer over kunstmatige intelligentie.
VD WIJST: Dat klopt en dat maakt ook dat
die vraag dus een hele technische vraag wordt.
En dat is iets waar juristen vaak weinig verstand van hebben,
dus daar moet je iemand anders een technisch oordeel over laten geven.
Het wordt wel ingewikkeld gemaakt op die manier.
ROTMAN: Hoe los je dat op? Wachten tot de eerste rechtszaken komen?
De rechter gaat dat interpreteren,
dan komt er jurisprudentie en daar doen we het mee.
Of moet je het aan de voorkant regelen?
-Aan de voorkant,
want als je dat aan die rechter overlaat...
Waarschijnlijk heeft die rechter, da's een goede jurist, maar geen techneut,
heeft geen technische achtergrond.
Dat betekent dat ie aan iemand
die wel zo'n technische achtergrond heeft, moet gaan vragen:
'Valt dit wel of niet onder die definitie?'
En dat is jammer, want dan laat je een ander dus een probleem oplossen.
Los dat aan de voorkant op.
ROTMAN: Nu hebben wij een paar toezichthouders
die in meer of mindere mate
vanuit verschillende perspectieven toezicht houden
op het gebruik en de inzet van technologie.
Gaat deze AI Act deze toezichthouders helpen?
VD WIJST: Als je bedoelt dat het toezicht makkelijker wordt, dat denk ik wel,
want deze AI Act gaat duidelijkheid geven over criteria,
over: waar moet een AI-toepassing aan voldoen?
Wat mag iemand ervan verwachten?
Ik heb begrepen dat we in Nederland ik geloof 23 toezichthouders
op AI-toepassingen hebben met het Agentschap Telecom voorop,
maar ook autoriteiten als de AP, de ACM. 23 geloof ik in totaal,
dus die zullen daar wel gezamenlijk iets van moeten vinden.
Ik hoop wel dat er afstemming plaatsvindt tussen die toezichthouders,
om te voorkomen dat de ene toezichthouder
een norm anders uitlegt dan de andere toezichthouder.
ROTMAN: Gebruik je eigenlijk slimme software in je eigen werk?
VD WIJST: Ongetwijfeld. Ik heb een iPhone, dus daar zit het al in.
Wij zijn inderdaad wel aan het kijken naar het gebruik van AI
bij bijvoorbeeld het analyseren van overeenkomsten.
In het kader van due diligence moet je veel overeenkomsten analyseren
en ook daar zou je AI-software voor kunnen gebruiken.
Daar zijn we druk mee. Legal tech is ook een hot item binnen de advocatuur.
ROTMAN: En als jij nou kijkt vanuit je rol van betrokkene bij die AI-coalitie.
Als jij nou naar die wetgeving kijkt,
vergroot het dan onze onze economische kansen in Nederland
voor de AI-branche, voor de industrie?
Of denk je: dit gaat ten koste van onze innovatiekracht.
VD WIJST: Dit gaat ons zeker helpen.
Ik hoor alleen maar van zowel de datascientists,
alsook de onderzoekers op de kennisinstellingen,
dat zij veel kunnen en verwachten van AI-toepassingen,
dat ze daar veel mee verwachten te kunnen gaan bereiken.
En die zullen ontzettend geholpen worden wanneer er een goed juridisch kader is.
Dat ze ook weten: wat mag wel, wat mag niet.
Dus daar gaat die AI Act ongetwijfeld in bijdragen
en dat betekent ook dat de concurrentiekracht
van niet alleen die start-ups en scale-up die hier actief in zijn,
maar ook al die onderzoekers op die kennisinstellingen die hiermee bezig zijn,
gaat ze ontzettend helpen.
-Neem mij even mee naar die toekomst,
over 10, 20 jaar. Die toekomst waarin AI alomtegenwoordig is.
Wat voor impact heeft dat? Kun je even schetsen
hoe de dagdagelijkse praktijk in de wereld er dan uitziet?
VD WIJST: Bijvoorbeeld: we hebben tekort aan personeel in de zorg.
De kans is erg klein dat we dat personeelstekort gaan oplossen.
Dus daar zullen technische oplossingen voor moeten komen
om dat gebrek aan handjes op te vullen.
Ik hoorde gister over een toepassing waarbij met behulp van camera's
met slimme algoritmes een bewoner van een verpleeghuis kan worden gemonitord.
Die toepassing zorgt ervoor dat er minder mensen voor de toezicht nodig zijn,
maar wel, op het moment dat het echt nodig is
dat personeel gealarmeerd kan worden.
Dus daar zie je technische toepassingen, vaak met AI,
die ook bij problemen van te weinig zorgpersoneel kan gaan helpen.
ROTMAN: En ondertussen werkt de HR-afdeling van zo'n organisatie
misschien met slimme software om de roosters voor mekaar te krijgen.
Ondertussen zijn er huisartsen, medewerkers in ziekenhuizen
die misschien met AI werken
als het gaat over diagnostiek, beoordeling van foto's.
Dat komt ook op ons af.
-Ik wil er nog eentje toevoegen.
Bijvoorbeeld: we hebben een gebrek aan ruimte op het stroomnet,
maar er zijn nog plekken waar wel ruimte is.
Dat kun je ook met algoritmes zo slim gaan indelen en verdelen
dat het net optimaal gebruikt kan worden.
Dus op verschillende terreinen: onderhoud, van infrastructuur,
verschillende onderwerpen en gebieden kan dit een oplossing gaan bieden.
ROTMAN: Dan wil ik even naar de vraag van Nina Krijnen, beleidsmedewerker
van de Taskforce Cyber bij het ministerie van Buitenlandse Zaken.
'Ik heb eigenlijk twee vragen:
Welke uitdagingen gaan gepaard met de ontwikkeling van AI?
Tegelijkertijd komt er regulering vanuit Brussel op ons af.
Welke obstakels zie je voor Nederland om die te implementeren?'
Eerst die eerste: Welke uitdagingen gaan gepaard met de ontwikkelingen van AI?
Laten we even naar het ziekenhuis gaan
en de mensen die daar werken, of die zorginstellingen.
Er zijn dus op allerlei niveaus allerlei computers bezig
om inschattingen te maken, om keuzes te helpen maken,
om diagnostiek te doen, om met camera's te analyseren
of iemand wel of geen hulp nodig heeft.
Welke uitdagingen gaan gepaard met de ontwikkelingen van AI?
Dat is Nina's vraag.
VD WIJST: Ik zou zeggen 'de menselijke maat' .
Hoe houden we het menselijk?
Hoe voorkom je dat uiteindelijk 'computer says no'
de doorslag gaat geven. Ik denk dat.
Technisch zal er heel veel mogelijk gaan worden,
maar willen we alles wat technisch mogelijk is?
ROTMAN: Oké, dus dat is het.
Hoe gaan we de menselijke maat by design inbouwen?
Dat is natuurlijk een paradox in zichzelf.
Je gaat technologie gebruiken wat in zich heeft dat je de menselijke maat verliest
en dan ga je menselijke maat inbouwen in de technologie. Het blijft tech, toch?
VD WIJST: Als die technologie ondersteunend is,
dan is dat prima. Dan gaat het ons helpen,
zeker bij personeelstekorten.
Maar techniek is vaak ook veel sneller, veel slimmer dan mensen kunnen zijn.
Dus daar gaat het ons helpen.
Het wordt denk ik... Zelf zou ik het te ver vinden gaan
op het moment dat de techniek beslissingen gaat nemen over mensen
zonder dat de mens daar nog bij betrokken is.
Dat is een nachtmerriescenario. ROTMAN: Dus dat is echt...
Daar moeten we op blijven letten.
Dan het tweede deel van die vraag, de obstakels voor Nederland.
Er is een groot internationaal krachtenveld.
Er zijn verdragen, reguleringen, standaardisaties
en die vinden er allemaal wat van.
De Europese Commissie komt nu met een voorstel, met een plan.
Wat zijn nou specifiek voor Nederland uitdagingen of obstakels?
Nou, de AI Act staat niet op zich.
De AI Act is een onderdeel van een heleboel wet en regelgeving
die uit Brussel komt om meer data beschikbaar te maken,
om ons meer vertrouwen te geven in het gebruik van data.
Het obstakel zou ik zien dat er zoveel aan zit te komen
dat we het overzicht verliezen
en dat we daardoor geen grip meer houden op wat er gaat komen
en hoe we dat gaan inzetten.
Hoe gaan we het inzetten in ons voordeel?
Hoe gaan we er voordeel bij hebben?
Met name omdat er zoveel op ons afkomt.
ROTMAN: Hoe bedoel je dat? Wat is dat dan?
Kun je die brij omschrijven? Wat komt er dan allemaal op ons af?
VD WIJST: Zowel nieuwe regelgeving op het gebied van privacy
en cyberveiligheid, nieuwe regelgeving op het gebied van:
Wie mag wat met mijn data?
-Allemaal uit Europa, wat je nu noemt.
VD WIJST: Komt allemaal uit Europa en ik denk dat dat ook nodig is
om ons te wapenen en tools te geven
om te kunnen blijven concurreren met China en Amerika.
Maar er komt wel heel veel op ons af
en dat moet allemaal door al die parlementen worden goedgekeurd.
Ik ben erg benieuwd hoe dat de komende jaren gaat lopen,
want de timeline die je ziet, is erg kort.
Ik begreep dat voor de AI Act op de planning is, de bedoeling...
De hoop is dat dat in 2024 al in werking gaat treden.
Met al die andere regelgeving die er op het gebied van data aan zit te komen,
wordt dat een hele klus, denk ik. Hoe houden we iedereen daarbij betrokken?
En hoe houden we het bij?
ROTMAN: Ik heb ook een leuk gesprek gehad
met Bart Groothuis, Europarlementariër voor de VVD.
Dat gesprek ging over digitale soevereiniteit...
en dat gaat over zelfbeschikking.
Je kan op Europees niveau soeverein zijn ten opzichte van de wereld.
Je kan op nationaal niveau soeverein zijn ten opzichte van andere landen.
Je kan op individueel niveau zelfbeschikking hebben.
Verschillende niveaus van soevereiniteit.
Nu noem je een paar dingen: privacy, security, AI, de DMA...
Er is allemaal wetgeving die op ons afkomt vanuit Europa.
Hoeveel ruimte hebben wij en hoeveel ruimte hebben we misschien nodig
om ook vanuit Nederland te kunnen zeggen:
Prima. AI Act, gaan we mee akkoord, maar wij willen wel een soort...
We willen ruimte hebben om in Nederland
onze eigen normen en waarden ook gewoon in stand te houden.
Dan wordt dat niet zo Europees.
Is daar überhaupt ruimte voor of zou dat te moeten zijn?
VD WIJST: Lastige vraag,
want op het moment dat een van de doelen is
dat de Europese markt concurrerend moet worden,
kun je denk ik niet al te veel verschillen hebben.
Dat wordt het ook ontzettend lastig voor bijvoorbeeld ondernemers
om een AI-toepassing te maken op het moment dat je in verschillende landen
al met verschillende regels te maken krijgt. Dat wordt ontzettend lastig.
Dus ik denk dat we er niet aan ontkomen
dat het voor een deel ook eenheid wordt.
Er daar zullen we misschien ook soms op moeten toegeven en wat inleveren.
Maar ik denk dat we als geheel daar voordeel bij gaan hebben.
Nu zag je dat bij die GDPR, de Europese privacywetgeving
of in Nederland de AVG,
dat dat inmiddels best wel internationaal de standaard aan het worden is...
terwijl er veel kritiek was en er is nog genoeg op aan te merken volgens mij.
Ik ben geen juridische fijnslijper, maar er is altijd wat om te doen.
Maar uiteindelijk is dat best wel de norm geworden.
Denk jij dat dat met de AI Act ook zo kan zijn?
Want in Amerika en vooral ook in China
denken ze echt anders over de inzet van AI.
VD WIJST: Klopt, ik ben betrokken bij een internationale club
van technologie-advocaten, technisch juristen,
en daar hoor ik met name van Amerikanen
dat men vreest dat dat exact gaat gebeuren met de AI Act.
ROTMAN: Men vreest dat.
VD WIJST: Men vreest dat, want de AI Act staat niet op zich.
De AI Act houdt rekening met bijvoorbeeld een GDPR
en daarom vreest men dat in het buitenland, dat men zegt:
'Die andere regelgeving hebben we soms niet of hebben we vaak niet.'
En als je dan die AI Act in Brazilië, in andere landen, zou gaan kopiëren,
dan kan dat eigenlijk alleen maar als je ook de andere regelgeving
waar het een verband mee heeft, overneemt.
Dat zullen ze dan waarschijnlijk niet doen of dat...
Dat maakt dus dat het men het daar erg lastig vindt.
Plus: men heeft wel inhoudelijke kritiek op de AI Act zoals die er ligt.
ROTMAN: Dus er is een praktisch bezwaar,
maar ik ben vooral benieuwd naar het inhoudelijke bezwaar,
want wij denken anders over privacy. Wij zijn daar echt anders mee bezig.
In Amerika en vooral in China zijn daar natuurlijk hele andere ideeën over.
VD WIJST: Onder andere, in bijvoorbeeld Amerika mag veel meer
en men is bevreesd dat de beperkingen die nu in die AI Act zitten
dat die worden geïmporteerd in Amerika.
En het tweede, maar daar gaat misschien wel wat aan veranderen:
In de AI Act wordt heel weinig rekening gehouden met de burger.
Het eindigt eigenlijk bij degene die de AI-toepassing in gebruik heeft,
maar dat zegt weinig over degene die met het gebruik wordt geconfronteerd.
De consument bijvoorbeeld.
-Maar dat is toch...
Ik vind dat wel een geruststellende gedachte.
VD WIJST: Ja, maar die waarborgen voor die consument
liggen al in andere regelgeving vast, bijvoorbeeld de GDPR.
ROTMAN: Wat je vaak merkt met nieuwe technologieën
is dat we in de regelgeving vaak een beetje achter de feiten aanlopen.
Het overkomt ons een beetje, dan gaan we als een kip zonder kop aan de slag.
En dan roept iemand een keer:
'Wacht even, hier worden misschien normen en waarden geschonden.'
En dan gaan we achteraf de boel proberen te corrigeren.
Nu proef ik een beetje uit al die regelgeving die er op ons afkomt
dat we misschien aan de voorkant dingen proberen te regelen. Hoe zie jij dit?
VD WIJST: Ik denk dat regelgeving per definitie achter feiten aanloopt.
Dat is ook hier denk ik het geval.
Wat ik hier wel goed vind, is dat er een breed groter plan achter zit
en dat is waarom er op het gebied van data ook al die regelgeving aankomt.
Het is een breder, groot opgezet plan en dat vind ik goed. De samenhang is er.
ROTMAN: Er zitten veel ambtenaren te luisteren
en die hebben misschien wel een idee:
'Ik wil hier een project starten of een proces inrichten
en we willen daar kunstmatige intelligentie bij gaan gebruiken.'
Wat zijn nou... Nu komt die AI Act op ons af.
Daar moeten we wat mee, daar moeten we aan voldoen.
Wat zijn dan jouw tips voor mensen die hier nu mee aan de slag gaan
om die menselijke maat in dat design te krijgen?
Hoe pak je zoiets van?
VD WIJST: Nou denk ik, eigenlijk wat je net al zegt: in design.
Niet er pas naar gaan kijken
op het moment dat er een AI-toepassing bijna in gebruik is,
maar helemaal aan de voorkant al by design zorgen
dat aan die vereisten wordt voldaan
en dat er by design al aandacht is voor aspecten als ethiek,
robuustheid van algoritmes.
Dus by design aan de voorkant er al rekening mee houden.
ROTMAN: Dat snap ik, aan de voorkant, maar hoe doe je dat?
Is dat een kwestie van in elke vergadering aan het begin elke keer:
'Oké jongens, is die menselijke maat nu by design erin gebracht?'
Hoe doe je dit? Hoe richt je je proces in dat het er dan ook in komt?
VD WIJST: Dat zou bijvoorbeeld kunnen
met een AI-test- en experimenteerfaciliteit.
De TEF's, die zijn in ontwikkeling.
Een andere mogelijkheid zou kunnen zijn, werken met een AI regulatory sandbox.
Een heel mooi instrument wat is geïntroduceerd in deze AI Act,
wat nog wel vorm moet krijgen,
maar dat zijn allemaal omgevingen om in een vroegtijdig stadium te testen
of een AI-toepassing aan wet- en regelgeving voldoet,
waar je tegenaan loopt wanneer je in the real world
met een AI-toepassing aan de slag zou gaan.
Dus in een heel vroegtijdig stadium daar al naar kijken,
met name omdat de gevolgen
voor verkeerde AI-toepassingen heel groot kunnen zijn.
ROTMAN: Zijn jullie bij BG.legal al bezig om een AI te ontwikkelen
die andere AI's kan controleren op compliance
en dat je dan met dat programma op bezoek gaat bij jouw klanten
om te overleggen van: hé, jullie je doen het wel of niet goed.
VD WIJST: Dank voor het idee.
Wij hebben al een aantal datascientists in dienst.
Dus niet alleen juristen, maar ook mensen met een andere achtergrond.
Wij ontwikkelen wel impact assessments.
We willen een AI-compliance check gaan ontwikkelen.
Allemaal omdat we zowel van AI-ontwikkelaars,
maar ook van opdrachtgevers horen:
'Kan ik ergens een certificaat krijgen of een verklaring
dat een AI-toepassing aan wet- en regelgeving voldoet?'
ISO-normen zullen er gaan komen, voor AI-toepassingen.
Dus naast de AI Act met wet- en regelgeving
zullen er ongetwijfeld ook in zekere zin certificeringsnormen komen.
Allemaal bedoeld om vertrouwen te geven, te wekken voor een AI-toepassing.
ROTMAN: Wordt jouw werk er leuker van?
VD WIJST: Jazeker.
Ik vind het ontzettend leuk om... Ik ben van nature ontzettend nieuwsgierig
en dus nieuwe technologie en wat dat voor effect heeft op juridische afspraken,
hoe je juridisch moet omgaan met nieuwe technologieën,
vind ik ontzettend interessant.
-Je begint te shinen.
Dank je wel, Jos van der Wijst. Partner bij BG.Legal.
Dank ook Loulou Hanna, Nina Krijnen en Ron Roozendaal voor jullie vragen.
Wil je meer weten? Ga naar it-academieoverheid.nl
of je favoriete podcastapp.
Daar komen ook Loulou, Nina en Ron weer tevoorschijn,
dus ik ben benieuwd waar ze mee komen. Dank je wel.
VD WIJST: Graag gedaan.

Digitaal Europa - Europese (digitale) markt, met Sigrid Johannisse

Handel en dienstverlening zijn door digitalisering haast onherkenbaar veranderd. En dan is er ook nog de handel en dienstverlening in rondom de IT. Decennialang geloofden we dat de werking van de markt alleen een beetje bijgestuurd hoefde te worden. Vandaag is er brede overeenstemming dat overheidsregulering nodig is om in markten een gezonde balans te houden tussen grote en minder machtige aanbieders, en om consumenten te beschermen. Sigrid Johannisse, lid van de Nederlandse Permanente Vertegenwoordiging bij de Europese Unie, kent dat spel.

Digitaal Europa - Europese (digitale) markt, met Sigrid Johannisse

Digitaal Europa - Grondrechten met prof. Janneke Gerards

Je zou kunnen denken dat onze grondrechten zo ‘fundamenteel’ zijn dat die gewoon óók van toepassing zijn in de digitale wereld. Maar dat is te simpel. Rechten, ook grondrechten, zijn vaak met elkaar in conflict. In nieuwe omstandigheden moeten er dus nieuwe afwegingen gemaakt worden. “Brussel haalt de hete kastanjes uit het vuur voor de lidstaten”, vertelt prof. Janneke Gerards, hoogleraar fundamentele rechten aan de Universiteit Utrecht, in de laatste podcast in deze serie, bijvoorbeeld door het recht op vrij ondernemerschap te beperken ten gunste van het recht op privacy van burgers.

Digitaal Europa - Grondrechten met prof. Janneke Gerards, Hoogleraar fundamentele rechten aan de Universiteit Utrecht