Privacy en datasoevereiniteit remmen AI-groei: Nederlandse bedrijven moeten architectuur aanpassen

Enterprise AI loopt steeds vaker vast op eisen rondom privacy, security en datasoevereiniteit. Organisaties die AI willen opschalen, ervaren dat bestaande infrastructuren onvoldoende aansluiten op strengere data-, security- en governance-eisen. Dit blijkt uit onderzoek van NTT DATA, dat op 21 mei 2026 het rapport "NTT DATA's 2026 Global AI Report: A Playbook for Private and Sovereign AI" publiceerde.

NTT DATA is een Japans-Nederlands IT-servicebedrijf met hoofdkantoor in Amersfoort en onderdeel van de NTT-groep. Het bedrijf telt wereldwijd ongeveer 150.000 medewerkers en behaalde in 2025 een omzet van circa 32 miljard euro. NTT DATA is een van de grootste aanbieders van AI-diensten, cloud-infrastructuur en digitale transformatie voor grote ondernemingen en overheden. Het bedrijf voert jaarlijks onderzoeken uit onder honderden organisaties wereldwijd om trends in digitale transformatie en AI-adoptie in kaart te brengen.

Het onderzoek toont een groeiende kloof tussen organisaties die hun AI-omgeving opnieuw inrichten met oog voor controle, lokale verwerking en security, en organisaties die AI blijven integreren in bestaande infrastructuren. Jarenlang draaide enterprise-architectuur om het snel en efficiënt verplaatsen van data tussen systemen, clouds, applicaties en landsgrenzen. Dit model was gericht op maximale flexibiliteit en kostenefficiëntie. AI legt echter de beperkingen van dat model bloot. Gevoelige data moeten beter worden beschermd, workloads moeten binnen specifieke jurisdicties draaien en AI-modellen vragen om strengere governance. Daardoor kan data niet altijd meer vrij bewegen op de manier die veel AI-systemen vereisen.

Regelgeving drijft herarchitectuur

De Europese regelgeving speelt een centrale rol in deze verschuiving. De Algemene Verordening Gegevensbescherming (AVG), die sinds 2018 van kracht is, stelt strikte eisen aan de verwerking van persoonsgegevens. De Digital Services Act (DSA), die sinds 2024 van toepassing is, stelt eisen aan transparantie en verantwoording van algoritmen. De AI Act, die in fasen tussen 2025 en 2027 van kracht wordt, stelt eisen aan het gebruik van AI-systemen, met name voor high-risk toepassingen zoals creditbeoordeling, werknemersscreening en gezondheidsdiagnose.

Daarnaast eisen landen als Frankrijk, Duitsland en Nederland steeds vaker dat gevoelige data en kritieke workloads binnen hun grenzen blijven. Dit concept heet "data soevereiniteit" of "digital sovereignty". De Nederlandse regering heeft in 2024 een strategie voor digitale soevereiniteit vastgesteld, die gericht is op het verminderen van afhankelijkheid van Amerikaanse tech-bedrijven en het waarborgen van controle over kritieke data en infrastructuur. Dit raakt vooral sectoren als defensie, energie, gezondheidszorg en financiële diensten.

Deze regelgeving heeft directe gevolgen voor AI-architecturen. Veel AI-systemen zijn gebouwd op cloudplatforms van Amerikaanse bedrijven als Microsoft Azure, Amazon Web Services en Google Cloud. Deze platforms verplaatsen data automatisch tussen datacenters om workloads te optimaliseren en kosten te besparen. Voor AI-modellen die trainen op gevoelige data, is dit problematisch. Organisaties moeten nu kiezen: ofwel blijven zij AI-modellen trainen op Amerikaanse cloudplatforms en riskeren zij regelgeving-overtredingen, ofwel investeren zij in alternatieve infrastructuur die data binnen Europa houdt.

Gevolgen voor Nederlandse bedrijven

Voor Nederlandse bedrijven in sectoren als financiële diensten, gezondheidszorg, overheid en industrie zijn de gevolgen aanzienlijk. Volgens het NTT DATA-onderzoek ervaren 70 procent van de onderzochte organisaties in deze sectoren problemen bij het opschalen van AI vanwege compliance-eisen. Dit leidt tot vertraging van AI-projecten, hogere kosten en inefficiëntie.

De extra kosten van herarchitectuur zijn substantieel. Organisaties moeten investeren in: (1) nieuwe on-premises of Europese cloudinfrastructuur, (2) data-governance-tools en -processen, (3) AI-modellen die lokaal kunnen draaien in plaats van in de cloud, (4) compliance- en auditfuncties, (5) training van IT-teams. Volgens NTT DATA bedragen deze investeringen gemiddeld 15 tot 40 procent van het totale AI-budget. Voor een middelgroot bedrijf dat 2 miljoen euro per jaar in AI investeert, betekent dit 300.000 tot 800.000 euro extra kosten.

De vertragingen zijn eveneens significant. Organisaties die hun AI-architectuur moeten herarchitectureren, verliezen 6 tot 12 maanden tijd ten opzichte van concurrenten die dit eerder hebben gedaan. Dit kan leiden tot verlies van marktaandeel, minder innovatie en lagere winstgevendheid. Een onderzoek van McKinsey uit 2025 toont aan dat bedrijven die AI-projecten met meer dan 6 maanden vertraging uitvoeren, gemiddeld 8 tot 12 procent minder waarde uit hun AI-investeringen halen.

De sectoren die het hardst getroffen worden, zijn financiële diensten, gezondheidszorg en overheid. In de financiële sector moeten banken en verzekeraars voldoen aan de AVG, de Wet op de financiële markten en regelgeving van de Europese Centrale Bank (ECB) en de Autoriteit Financiële Markten (AFM). Deze regelgeving stelt strikte eisen aan het gebruik van AI voor creditbeoordeling, fraudedetectie en beleggingsadviezen. Veel banken hebben AI-modellen gebouwd op Amerikaanse cloudplatforms, wat nu in conflict komt met regelgeving.

In de gezondheidszorg moeten ziekenhuizen en medische bedrijven voldoen aan de AVG en regelgeving rond medische gegevens. AI-toepassingen voor diagnose, behandelplanning en medicijnonderzoek verwerken gevoelige gezondheidsgegevens, die niet zomaar naar Amerikaanse cloudplatforms mogen. Dit remt innovatie in medische AI.

Bij de overheid is de druk nog groter. De Nederlandse overheid heeft zich verbonden aan de EU-strategie voor digitale soevereiniteit en wil minder afhankelijk zijn van Amerikaanse tech-bedrijven. Dit betekent dat overheidsinstellingen steeds vaker eisen dat AI-systemen op Europese of Nederlandse infrastructuur draaien. Dit raakt defensie, politie, justitie, belastingdienst en andere kritieke diensten.

Marktgroei geremd

De wereldwijde markt voor enterprise AI groeide in 2025 met 18 procent naar circa 8,2 miljard euro. Voor 2026 wordt een groei van 23 procent verwacht naar 10,1 miljard euro. Deze groei wordt echter geremd door compliance-eisen. Volgens NTT DATA zou de groei zonder deze eisen 30 tot 35 procent bedragen. Dit betekent dat compliance-eisen de markt jaarlijks 1 tot 2 miljard euro aan potentiële groei kosten.

De vertraging is niet gelijk verdeeld. Organisaties die hun AI-architectuur vroegtijdig aanpassen aan privacy- en soevereiniteitseisen, bouwen een voorsprong op. Zij kunnen sneller schalen, hebben lagere compliance-risico's en kunnen eerder waarde uit AI halen. Organisaties die dit uitstellen, riskeren achter te raken.

NTT DATA onderscheidt twee groepen organisaties: "early adopters" en "laggards". Early adopters (circa 25 procent van onderzochte organisaties) hebben hun AI-architectuur al aangepast aan privacy- en soevereiniteitseisen. Zij gebruiken on-premises infrastructuur, Europese cloudplatforms of hybride modellen. Zij investeren in private AI-modellen die lokaal kunnen draaien. Laggards (circa 40 procent) blijven AI integreren in bestaande infrastructuren en stellen herarchitectuur uit. De resterende 35 procent bevindt zich in een transitiefase.

Early adopters rapporteren betere resultaten: snellere time-to-market voor AI-projecten (gemiddeld 3-4 maanden sneller), lagere compliance-risico's, hogere acceptatie van AI-systemen door werknemers en klanten, en betere schaalbaarheidsperspectief. Laggards rapporteren meer vertragingen, compliance-problemen, en lagere ROI op AI-investeringen.

Europese alternatieven groeien

De vraag naar Europese en Nederlandse alternatieven voor Amerikaanse cloudplatforms groeit. Bedrijven als OVHcloud (Frankrijk), Scaleway (Frankrijk), Hetzner (Duitsland) en Eurohosting (Nederland) zien toenemende vraag naar Europese cloudinfrastructuur. Deze bedrijven bieden cloudservices aan die volledig in Europa draaien en voldoen aan Europese regelgeving.

OVHcloud, een Franse cloudprovider, rapporteerde in 2025 een groei van 35 procent in vraag naar AI-services. Scaleway, ook Frans, zag vraag naar AI-infrastructuur met 42 procent groeien. Deze groei is direct gerelateerd aan organisaties die hun AI-workloads van Amerikaanse platforms naar Europese alternatieven verplaatsen.

Daarnaast groeien open-source AI-frameworks die lokaal kunnen draaien. Frameworks als PyTorch, TensorFlow en Hugging Face bieden tools waarmee organisaties AI-modellen kunnen trainen en draaien op eigen infrastructuur, zonder afhankelijk te zijn van Amerikaanse cloudplatforms. Dit geeft organisaties meer controle en helpt compliance-eisen na te leven.

De trend naar private en sovereign AI zal zich de komende jaren versterken. Regelgeving zal strenger worden, vooral met de volledige invoering van de AI Act in 2027. Organisaties die hun AI-architectuur niet aanpassen, riskeren compliance-problemen, boetes en reputatieschade. De AVG voorziet boetes tot 4 procent van de jaarlijkse omzet voor ernstige overtredingen; de AI Act voorziet boetes tot 6 procent van de jaarlijkse omzet.

Voor Nederlandse bedrijven is het moment om actie te ondernemen. Organisaties die nu investeren in private en sovereign AI-architecturen, bouwen een concurrentievoordeel op. Dit vereist: (1) inventarisatie van gevoelige data en AI-workloads, (2) evaluatie van huidige cloudinfrastructuur op compliance-risico's, (3) planning van herarchitectuur, (4) investering in Europese cloudinfrastructuur of on-premises oplossingen, (5) training van IT-teams.

De Nederlandse overheid kan een rol spelen door investeringen in Europese cloudinfrastructuur te stimuleren, regelgeving duidelijk te maken en bedrijven te ondersteunen bij de transitie. Dit kan via subsidies, tax incentives, en kennisuitwisseling. Enkele Nederlandse bedrijven, zoals Eurohosting en Zeropoint, werken aan Europese AI-infrastructuur, maar hebben meer ondersteuning nodig om schaal te bereiken.

Voor IT-servicebedrijven als NTT DATA, Capgemini en Accenture biedt dit kansen. Deze bedrijven kunnen organisaties helpen hun AI-architectuur aan te passen aan compliance-eisen, wat leidt tot nieuwe diensten en inkomstenstromen. NTT DATA ziet dit als een groeimarkt en investeert fors in private en sovereign AI-diensten.