De Europese AI Act heeft directe gevolgen voor de manier waarop je als organisatie je AI-infrastructuur inricht. Voor toepassingen in de hoogrisicocategorie gelden strenge eisen rond datalogging, transparantie en controle. In veel gevallen maakt dit een on-premise AI-server in Nederland niet alleen aantrekkelijk, maar soms ook noodzakelijk. Hieronder vind je een praktisch overzicht van wat de AI Act betekent voor jouw infrastructuurkeuzes.

Wat is de Europese AI Act en voor wie geldt die?

De Europese AI Act is de eerste bindende Europese wet die regels stelt voor de ontwikkeling en het gebruik van kunstmatige intelligentie. De wet geldt voor elke organisatie die AI-systemen aanbiedt of gebruikt binnen de Europese Unie, ongeacht waar die organisatie gevestigd is. Dat betekent dus ook voor Nederlandse bedrijven, overheidsinstellingen, ziekenhuizen en universiteiten.

De AI Act werkt met een risicogebaseerde aanpak. Hoe groter het potentiële risico van een AI-toepassing voor mensen, hoe strenger de regels. Toepassingen worden ingedeeld in vier categorieën: onaanvaardbaar risico, hoog risico, beperkt risico en minimaal risico. De zwaarste eisen gelden voor de hoogrisicocategorie, en die raakt meer organisaties dan je op het eerste gezicht zou denken.

De wet is gefaseerd in werking getreden en organisaties hebben tijd gekregen om zich aan te passen, maar de kernverplichtingen zijn inmiddels van kracht. Compliance is geen toekomstmuziek meer; het is een actuele verantwoordelijkheid.

Welke AI-toepassingen vallen onder de hoogrisicocategorie?

Hoogrisico-AI-toepassingen zijn systemen die een grote invloed kunnen hebben op de veiligheid, gezondheid of grondrechten van mensen. Denk aan AI die beslissingen ondersteunt in de medische zorg, AI voor personeelsselectie, kredietbeoordeling, biometrische identificatie of toepassingen in kritieke infrastructuur, zoals energie en transport.

Concreet betekent dit dat de volgende sectoren vrijwel zeker te maken krijgen met hoogrisicoclassificaties:

  • Ziekenhuizen en zorginstellingen die AI gebruiken voor diagnose of behandeladvies
  • Financiële instellingen met AI-gestuurde krediet- of fraudedetectiesystemen
  • Overheidsinstanties die AI inzetten voor handhaving of sociale voorzieningen
  • Onderwijsinstellingen die AI gebruiken voor de beoordeling van studenten
  • Beveiligingsbedrijven met biometrische of gedragsanalysesystemen

Voor al deze toepassingen gelden verplichtingen zoals uitgebreide logging van beslissingen, menselijk toezicht, transparantie richting eindgebruikers en aantoonbare kwaliteit van trainingsdata. Dit heeft directe gevolgen voor hoe en waar je die AI-systemen draait.

Hoe beïnvloedt de AI Act de keuze tussen cloud en on-premise?

De AI Act dwingt organisaties om veel bewuster na te denken over waar hun AI-systemen draaien en wie toegang heeft tot de onderliggende data. Cloudomgevingen bieden flexibiliteit, maar roepen vragen op over datasoevereiniteit, controle over logging en auditbaarheid. Een on-premise AI-server in Nederland geeft je als organisatie volledige controle over die aspecten.

Bij hoogrisicotoepassingen moet je kunnen aantonen dat je systeem voldoet aan de eisen. Dat betekent dat je logginginfrastructuur robuust en onveranderbaar moet zijn, dat je weet waar data wordt opgeslagen en verwerkt, en dat je op elk moment een audit kunt doorstaan. In een publieke cloudomgeving is dat lastiger te garanderen, zeker als de cloudprovider buiten de EU opereert of data verwerkt op servers buiten Nederland.

On-premise betekent niet automatisch dat je compliant bent, maar het geeft je wel de technische basis om compliance aantoonbaar te maken. Dat is een belangrijk verschil.

Wat zijn de technische vereisten voor AI Act-conforme infrastructuur?

AI Act-conforme infrastructuur voor hoogrisicotoepassingen moet voldoen aan een reeks concrete technische eisen. De belangrijkste zijn: onveranderbare logging van AI-beslissingen, toegangscontrole op data en modellen, hoge beschikbaarheid voor kritieke systemen en de mogelijkheid om menselijk ingrijpen te ondersteunen.

Logging en auditbaarheid

Elke beslissing die een hoogrisico-AI-systeem neemt, moet worden vastgelegd op een manier die achteraf controleerbaar is. Dit vereist opslaginfrastructuur die schrijfbeveiligd is en data lang genoeg bewaart om audits mogelijk te maken. Dat stelt eisen aan zowel de capaciteit als de beveiliging van je opslagsystemen.

Verwerkingscapaciteit en GPU-kracht

AI-modellen, zeker grotere taalmodellen en beeldherkenningssystemen, vereisen aanzienlijke rekenkracht. Voor inferentie en zeker voor training heb je GPU-servers nodig die de werklasten aankunnen zonder dat de latency oploopt. De keuze van hardware bepaalt direct of je systeem betrouwbaar genoeg is voor productieomgevingen in kritieke sectoren.

Netwerk en beveiliging

AI-systemen die persoonsgegevens verwerken, moeten voldoen aan zowel de AI Act als de AVG. Dat betekent netwerkisolatie, encryptie van data in transit en in rust, en strikte toegangscontrole. On-premise geeft je de mogelijkheid om deze lagen zelf in te richten en te beheren.

Wanneer is on-premise AI-infrastructuur verplicht of sterk aanbevolen?

On-premise AI-infrastructuur is sterk aanbevolen en in sommige gevallen de enige reële optie wanneer je werkt met gevoelige persoonsgegevens, wanneer je actief bent in een sector met een hoogrisicoclassificatie, of wanneer je organisatie onder overheidstoezicht valt dat datasoevereiniteit vereist.

Ziekenhuizen die patiëntdata verwerken met AI, overheidsinstellingen die AI inzetten voor handhaving of uitkeringsbeslissingen, en beveiligingsbedrijven met biometrische systemen hebben in de meeste gevallen geen echte keuze: de data mag de eigen omgeving niet verlaten en de controle over de infrastructuur moet volledig bij de organisatie liggen.

Maar ook buiten de strikt verplichte gevallen is on-premise aantrekkelijk. Organisaties die nu investeren in eigen AI-hardware, bouwen een infrastructuur die ze zelf kunnen auditen, aanpassen en uitbreiden, zonder afhankelijk te zijn van de beslissingen van een externe cloudprovider.

Hoe begin je met het bouwen van een AI Act-conforme on-premise omgeving?

Begin met een risicoanalyse van je bestaande en geplande AI-toepassingen. Breng in kaart welke systemen onder welke categorie van de AI Act vallen, welke data ze verwerken en welke beslissingen ze ondersteunen. Dat geeft je de basis om te bepalen welke infrastructuurvereisten gelden.

Vervolgens kijk je naar de technische architectuur. Voor de meeste hoogrisicotoepassingen heb je minimaal het volgende nodig:

  1. GPU-servers met voldoende rekenkracht voor de beoogde AI-werklasten
  2. Schaalbare en beveiligde opslag voor trainingsdata, modellen en logbestanden
  3. Netwerkinfrastructuur die isolatie en toegangscontrole ondersteunt
  4. Monitoring- en loggingsystemen die audittrails genereren
  5. Documentatie van de volledige infrastructuur ten behoeve van conformiteitsbeoordelingen

Zorg er ook voor dat je vanaf het begin nadenkt over schaalbaarheid. AI-werklasten groeien snel, en een infrastructuur die vandaag voldoende is, kan over een jaar al te krap zijn. Modulaire serverarchitecturen geven je de flexibiliteit om stap voor stap uit te breiden zonder de hele omgeving opnieuw te hoeven inrichten.

Welke fouten maken organisaties bij AI Act-compliance op infrastructuurniveau?

De meest gemaakte fout is dat organisaties compliance zien als een juridisch vraagstuk en de technische infrastructuur er pas later bij betrekken. Maar de AI Act stelt eisen die je niet achteraf kunt inbouwen. Logging, toegangscontrole en auditbaarheid moeten vanaf het begin in de infrastructuur verankerd zijn.

Andere veelvoorkomende fouten zijn:

  • Vertrouwen op cloudproviders zonder te controleren of die voldoen aan de datasoevereiniteitsvereisten
  • Onvoldoende GPU-capaciteit inplannen, waardoor systemen onder piekbelasting niet betrouwbaar functioneren
  • Logging opzetten zonder na te denken over retentieperioden en schrijfbeveiliging
  • Geen documentatie bijhouden van hardwarekeuzes en configuraties, terwijl die bij een conformiteitsbeoordeling nodig zijn
  • Schaalbaarheid niet meenemen in het initiële ontwerp, waardoor uitbreiding later duur en complex wordt

Een praktische tip: betrek je IT-infrastructuurteam vroeg in het compliance-traject. De technische eisen van de AI Act zijn concreet genoeg om direct te vertalen naar architectuurkeuzes, en die keuzes bepalen hoeveel werk en kosten je later bespaart.

Bij NCS International helpen wij organisaties in Nederland al meer dan 37 jaar met het bouwen van betrouwbare serverinfrastructuur. Als grootste en oudste Supermicro-distributeur in de Benelux leveren wij volledig op maat geconfigureerde on-premise AI-servers die aansluiten op de technische eisen van de AI Act. Van GPU-servers voor AI-inferentie tot schaalbare opslagoplossingen voor audittrails: wij configureren elk systeem op basis van jouw specifieke situatie. En als enige Supermicro-distributeur in Nederland bieden wij 24/7 on-site garantieservice, zodat je infrastructuur ook in kritieke omgevingen altijd beschikbaar blijft. Neem contact met ons op als je wilt weten welke configuratie past bij jouw AI Act-compliancetraject.

Veelgestelde vragen

Hoe weet ik zeker of mijn specifieke AI-toepassing onder de hoogrisicocategorie valt?

Controleer eerst of je toepassing voorkomt in de bijlagen van de AI Act, waarin de hoogrisicocategorieën expliciet worden opgesomd. Denk aan systemen die invloed hebben op toegang tot onderwijs, werk, krediet, zorg of overheidsvoorzieningen. Twijfel je? Laat een juridisch of technisch adviseur een formele risicoklassificatie uitvoeren — een verkeerde inschatting kan leiden tot non-compliance met aanzienlijke boetes en reputatieschade als gevolg.

Kan ik een bestaande cloudinfrastructuur aanpassen om AI Act-compliant te worden, of moet ik volledig overstappen naar on-premise?

Een volledige overstap is niet altijd noodzakelijk; een hybride aanpak is in sommige gevallen mogelijk, waarbij gevoelige verwerkingen en logging on-premise plaatsvinden en minder kritieke taken in de cloud blijven draaien. De sleutelvraag is of je in de cloudopstelling aantoonbaar kunt voldoen aan de eisen rondom datasoevereiniteit, onveranderbare logging en auditbaarheid. Breng per workload in kaart waar de risico's liggen en maak op basis daarvan een weloverwogen architectuurkeuze.

Welke documentatie moet ik bijhouden om een conformiteitsbeoordeling te kunnen doorstaan?

Voor hoogrisicosystemen vereist de AI Act een uitgebreide technische documentatie, waaronder een beschrijving van het systeem en zijn beoogde doel, de gebruikte trainingsdata en datakwaliteitsmaatregelen, de logginginfrastructuur en retentiebeleid, en de maatregelen voor menselijk toezicht. Zorg dat ook je hardwarekeuzes en netwerkconfiguraties gedocumenteerd zijn, want toezichthouders kunnen vragen naar de volledige technische keten achter een AI-beslissing.

Hoeveel GPU-capaciteit heb ik minimaal nodig voor een AI Act-conforme on-premise omgeving?

Dat hangt sterk af van het type AI-toepassing: inferentie op kleinere modellen stelt andere eisen dan het trainen van grote taalmodellen of het real-time verwerken van beelddata. Een goede vuistregel is om niet alleen te dimensioneren op de huidige werklasten, maar ook rekening te houden met piekbelasting en verwachte groei in het eerste jaar. Laat een technisch specialist een workload-analyse uitvoeren voordat je hardware aanschaft, zodat je niet te krap of onnodig overgedimensioneerd investeert.

Wat zijn de risico's als ik nu nog niets doe aan AI Act-compliance op infrastructuurniveau?

Organisaties die de technische infrastructuureisen negeren, lopen het risico dat hun AI-systemen bij een audit direct stilgelegd moeten worden, met operationele en financiële schade als gevolg. Bovendien kunnen toezichthouders boetes opleggen die kunnen oplopen tot 30 miljoen euro of 6% van de wereldwijde jaaromzet. Hoe langer je wacht, hoe groter de technische schuld die je opbouwt — infrastructuur achteraf compliant maken is duurder en complexer dan het vanaf het begin goed inrichten.

Hoe zorg ik ervoor dat mijn logging-infrastructuur voldoet aan de onveranderbaarheidseisen van de AI Act?

Gebruik opslagoplossingen met WORM-functionaliteit (Write Once, Read Many), zodat logbestanden na het wegschrijven niet meer aangepast of verwijderd kunnen worden. Stel daarnaast een retentiebeleid in dat aansluit op de wettelijke bewaartermijnen — voor hoogrisicosystemen wordt minimaal tien jaar aanbevolen. Combineer dit met strikte toegangscontrole en periodieke integriteitschecks om te kunnen aantonen dat de audittrail betrouwbaar en volledig is.

Wat is het verschil tussen AI Act-compliance en AVG-compliance, en hoe verhouden die twee zich tot elkaar?

De AVG regelt de bescherming van persoonsgegevens en geldt voor elke verwerking van persoonsdata, terwijl de AI Act specifiek gericht is op de risico's van AI-systemen voor mensen en de samenleving. In de praktijk overlappen ze sterk: een hoogrisico-AI-systeem dat persoonsgegevens verwerkt, moet aan beide voldoen. Behandel ze daarom niet als aparte trajecten, maar ontwerp je infrastructuur zo dat logging, toegangscontrole en datasoevereiniteit aan de eisen van beide regelgevingen tegelijk voldoen.

Gerelateerde artikelen

NCS International

Den Sliem 89
7141 JG Groenlo
The Netherlands
+31 544 470 000
info@ncs.nl

Meer berichten

Wat is een GPU-server?

GPU-servers verwerken duizenden berekeningen parallel — ontdek wanneer ze onmisbaar zijn voor jouw organisatie.


read more

Wat is een AI-server?

Wat is een AI-server en wanneer heb je er een nodig? Ontdek de techniek, hardware en toepassingen.


read more