Wat is het verschil eigenlijk
Lokale AI (synoniemen: on-premise AI, edge-AI) is een taalmodel dat draait op een server in uw eigen kantoorruimte of in een datacenter waar alléén uw kantoor toegang heeft. De cliëntdata, prompts en modeluitvoer verlaten die infrastructuur niet. Cloud-AI stuurt prompts via internet naar een gedeeld model bij een externe aanbieder, meestal OpenAI (ChatGPT), Anthropic (Claude), Google (Gemini) of Microsoft (Copilot). Tussen die twee uitersten zit een derde variant: EU-gehoste cloud-AI bij een aanbieder zonder Amerikaanse moedermaatschappij. Hetzner, Scaleway en Mistral bieden bijvoorbeeld inferentie op modellen in Frankfurt, Parijs of Amsterdam zonder dat data ooit de EER verlaat.
Vergelijking op de tien meest gestelde criteria
| Criterium | Lokale AI (on-premise) | EU-only cloud-AI | US-based cloud-AI |
|---|---|---|---|
| AVG-risico (art 44-50) | Laag | Laag | Hoog (DPF lost CLOUD Act niet op) |
| CLOUD Act-blootstelling | Geen | Geen (mits geen US-moeder) | Volledig (18 U.S.C. § 2713) |
| Setup-tijd | 2-4 weken | < 1 dag | < 1 uur |
| Initiële investering (2026) | €1.800-10.000 hardware | €0 | €0 |
| Maandkosten | €50-80 (stroom) | €20-200 (volume) | €20-200 (volume) |
| Break-even bij dagelijks gebruik | 6-12 maanden | n.v.t. | n.v.t. |
| Schrems II-conform | Ja | Ja | Alleen met klant-eigen EU-sleutels |
| Beroepsgeheim-compatibel | Ja | Ja (met EU-DPA) | Nee, ook niet contractueel te repareren |
| Geschikt voor kantoor van | 5+ fte, gevoelige dossiers | < 5 fte, standaardwerk | Nooit voor beroepsgeheim |
| Voorbeeld-aanbieders | Eigen server, Mac Studio M3 Ultra | Mistral La Plateforme, Hetzner, Scaleway | OpenAI, Anthropic, Google, Microsoft |
AVG: waar staat uw data wettelijk
De Algemene Verordening Gegevensbescherming (Verordening EU 2016/679) regelt geen AI specifiek, maar wél de doorgifte van persoonsgegevens naar derde landen. Hoofdstuk V (artikel 44-50) eist dat bij elke doorgifte van persoonsgegevens buiten de EER een "passend beschermingsniveau" gegarandeerd is. Voor cliëntdata van een notariskantoor betekent dit: u moet kunnen aantonen waar uw verwerker de data fysiek heeft staan en welke juridische waarborgen er gelden bij overdracht.
De Autoriteit Persoonsgegevens waarschuwde in 2025 expliciet dat het invoeren van persoonsgegevens in AI-chatbots zonder anonimisering al een datalek kan zijn, niet pas wanneer er iets uitlekt, maar op het moment van invoer. AI is voor 2026-2028 één van de drie strategische prioriteiten van de AP, naast massasurveillance en digitale weerbaarheid.
CLOUD Act: hoe ver reikt de Amerikaanse arm
De Amerikaanse Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018, gecodificeerd in 18 U.S.C. § 2713) verplicht Amerikaanse techbedrijven om data te overleggen aan Amerikaanse autoriteiten "regardless of whether such communication, record, or other information is located within or outside of the United States". Met andere woorden: een Amerikaanse provider moet ook EU-data delen wanneer een Amerikaanse rechter dat eist.
Dit raakt direct alle marktleiders in AI: OpenAI (ChatGPT, GPT-5), Anthropic (Claude, Amerikaanse moedermaatschappij ondanks Ierse Europese entiteit), Google (Gemini), Meta (LLaMA) en de hyperscaler-clouds waar deze modellen draaien: AWS, Microsoft Azure en Google Cloud. Voor Nederlandse notarissen betekent dit dat cliëntdata in een van deze systemen potentieel toegankelijk kan worden gemaakt zonder medeweten van de notaris of cliënt, een directe spanning met de geheimhoudingsplicht uit artikel 22 Wet op het notarisambt en het tuchtrechtelijke kader van het BFT.
Schrems II en het Data Privacy Framework
Het Hof van Justitie van de EU oordeelde in juli 2020 in zaak C-311/18 (Schrems II) dat het toenmalige EU-VS Privacy Shield onvoldoende waarborgen bood tegen Amerikaanse massa-surveillance. De Europese Commissie kwam in 2023 met een opvolger, het EU-US Data Privacy Framework (DPF), dat doorgifte naar gecertificeerde Amerikaanse aanbieders opnieuw mogelijk maakt onder specifieke voorwaarden.
Het DPF lost het CLOUD Act-probleem echter niet op. De European Data Protection Board bevestigt in haar Schrems II-aanbevelingen dat "contractuele aanvullende maatregelen alléén onvoldoende zijn om aan Amerikaanse surveillance-wetgeving te ontkomen, technische maatregelen, met name in de EER bewaarde encryptiesleutels, zijn vereist." Voor notarissen die met de geheimhoudingsplicht uit artikel 22 Wet op het notarisambt werken, betekent dit dat alleen klant-eigen sleutels of EU-only-infrastructuur juridisch sluitend is bij US-gebaseerde verwerkers.
Wat raadt de KNB aan in 2025-2026
De Koninklijke Notariële Beroepsorganisatie publiceerde in 2025 het AI-afwegingskader Deel 1 met de "AI-weegschaal" rond vijf principes:
- Deskundigheid, basiskennis van AI is verplicht voor elke notaris, met permanente educatie over LLM-principes, prompt-engineering, bias-mitigatie en cybersecurity.
- Vertrouwelijkheid, letterlijk: "Weet waar data worden opgeslagen en verwerkt (land, onderaannemers, beveiliging)."
- Onafhankelijkheid, AI is hulpmiddel, geen stuurprogramma. De notaris blijft eindverantwoordelijk.
- Integriteit, transparant werken; AI-gebruik niet verborgen houden.
- Partijdigheid, voorkomen van algoritme-bias die specifieke cliëntgroepen benadeelt.
Opvallend in de KNB-aanpak: het afwegingskader benadrukt dat AI-geletterdheid niet optioneel is onder de EU AI Act. Notarissen en hun medewerkers moeten AI in werkprocessen herkennen, begrijpen hoe het werkt en het ethisch toepassen. De KNB werkt aan een notariële private cloud (NPC) voor sectorbrede veilige AI-toepassingen waar cliëntdata de notariële infrastructuur niet hoeven te verlaten.
Wat kost lokale AI in 2026
De kosten van on-premise AI zijn de afgelopen drie jaar dramatisch gedaald. Volgens hardware-overzichten van begin 2026 zijn dit de courante opstellingen:
- Consumer-GPU (RTX 4090, circa 1.800 euro), draait stabiel 7B-13B parameter-modellen. Voldoende voor mailtriage, document-extractie en concept-antwoorden. Geschikt voor kantoren tot ~15 fte.
- Consumer-GPU (RTX 5090, 2.000-3.800 euro), 32B-modellen mogelijk. Ruimer geheugen voor langere context.
- Apple Mac Studio M3 Ultra (192 GB unified memory, 7.000-10.000 euro), kan een 70B-model volledig in geheugen houden, iets wat zelfs een enterprise-H100 met 80 GB VRAM niet kan. Stil, energiezuinig, geschikt voor kantooromgeving.
- NVIDIA H100 (25.000-40.000 euro per GPU), datacenter-grade. Alleen relevant voor grote kantoren of gedeelde infrastructuur tussen meerdere kantoren.
Eigen hardware wordt bij dagelijks gebruik snel goedkoper dan een doorlopend cloud-abonnement. Een kantoor dat de AI intensief inzet, schrijft een RTX 4090 (circa 1.800 euro in 2026) doorgaans in 6 tot 12 maanden af. Daarna draait de AI kosteloos, los van elektriciteit (circa 50-80 euro per maand bij intensief gebruik).
Welke variant past bij welke kantoor-grootte
Er is geen one-size-fits-all. Een eerlijke matrix per kantoor-profiel:
- Kantoor onder 5 fte, weinig gevoelige dossiers, EU-only cloud-AI volstaat. Mistral La Plateforme of een EU-aanbieder met DPA + EU-only datacenter. Maandkosten: 20-100 euro afhankelijk van volume.
- Kantoor 5-20 fte, gemengd dossier-profiel, hybride. Niet-gevoelige taken (vertaling, samenvattingen van openbare KvK-uittreksels) cloud; gevoelige cliëntcommunicatie, akte-data en dossiervorming lokaal of EU-only. Veel notariskantoren landen hier.
- Kantoor boven 20 fte, of gespecialiseerd in strafrecht / M&A / fiscaal advies / familierecht, on-premise of dedicated EU-private-cloud. De hardware-investering valt weg tegen het cumulatieve abonnementsbedrag binnen één jaar; het beroepsgeheim-risico is niet kwantificeerbaar maar wel structureel kleiner.
- Notariskantoor met BSN-werkstroom, bij voorkeur on-premise. De Wet bescherming persoonsgegevens en de KNB-beroepsregels stellen specifieke eisen aan BSN-verwerking die in een lokale opstelling het eenvoudigst aantoonbaar zijn.
EU AI Act augustus 2026: gevolgen per variant
Vanaf 2 augustus 2026 treden de verplichtingen voor hoog-risico AI-systemen onder de EU AI Act (Verordening 2024/1689) in werking. Volgens artikel 6 en bijlage III geldt: zodra AI structureel wordt ingezet bij juridisch advies of besluitvorming met rechtsgevolg, kan het systeem als hoog-risico worden geclassificeerd. Voor cloud-AI betekent dit dat uw aanbieder moet aantonen aan de transparantie- en oversight-verplichtingen te voldoen, én dat u als gebruiker (deployer) verantwoordelijk blijft voor de inzet.
Bij on-premise AI heeft u alle documentatie zelf in huis: welk model, welke trainingsdata, welke audit trail per beslissing. Bij cloud-AI bent u afhankelijk van wat de aanbieder publiekelijk maakt, niet altijd voldoende voor een conformity-assessment door een toezichthouder. Een uitgebreidere uitleg per categorie staat op onze EU AI Act-pagina voor notarissen.
Vier veelgestelde vragen
Mag ik ChatGPT gebruiken voor cliëntdata?
Niet zonder anonimisering. De Autoriteit Persoonsgegevens waarschuwde in 2025 expliciet dat het invoeren van persoonsgegevens in AI-chatbots een datalek kan zijn. Voor notarissen geldt bovendien de geheimhoudingsplicht conform artikel 22 Wet op het notarisambt, vertrouwelijke cliëntinformatie mag niet bij een derde partij belanden. Anonimiseren vóór invoer is de minimumnorm; lokale of EU-only AI-verwerking is het structurele antwoord.
Wat is het verschil tussen een EU-datacenter en on-premise?
Een EU-datacenter (VastPilot gebruikt Hetzner in Falkenstein, Duitsland, binnen de EER) staat fysiek in de EER en valt onder EU-recht. On-premise betekent dat de server fysiek in uw eigen kantoor staat. Beide opties beschermen tegen US-cloud-providers en de CLOUD Act, mits de leverancier zelf geen US-entiteit is. On-premise geeft maximale controle (geen externe partij bij datalekken, geen netwerk-afhankelijkheid); EU-datacenter is goedkoper en operationeel makkelijker.
Is lokale AI duurder dan cloud-AI?
Op korte termijn ja, op langere termijn nee. Een consumer-GPU als de NVIDIA RTX 4090 (circa 1.800 euro in 2026) draait stabiel 7B-13B parameter-modellen, voldoende voor mailtriage, document-extractie en concept-antwoorden. Cloud-AI lijkt goedkoper bij lage volumes, maar kantoren met dagelijks gebruik schrijven on-premise hardware doorgaans af in 6 tot 12 maanden, daarna draait u kosteloos, op stroomverbruik na (circa 50-80 euro/maand).
Welke variant past bij welke kantoor-grootte?
Onder 5 fte: EU-only cloud-AI volstaat meestal. 5-20 fte: hybride, gevoelige dossiers lokaal, niet-gevoelige cloud. Boven 20 fte of bij gespecialiseerde praktijkgebieden (estate planning, M&A-aktes, fiscale akten, familierecht): on-premise wordt economisch en compliance-technisch interessant. Het KNB AI-afwegingskader adviseert in alle gevallen: weet waar uw data heen gaat en houd dat aantoonbaar.
Bronnen en verder lezen
Deze pagina is gebaseerd op publieke wettelijke teksten, toezichthouder-publicaties en vakliteratuur. Alle bronnen zijn aanklikbaar en geverifieerd op 12 mei 2026.
Wettelijke kaders
- Verordening (EU) 2024/1689, EU AI Act (volledige tekst, EUR-Lex)
- Verordening (EU) 2016/679, AVG/GDPR (EUR-Lex)
- 18 U.S.C. § 2713, CLOUD Act (Cornell Law)
- Wet op het notarisambt (wetten.overheid.nl)
- EU AI Act artikel 50, Transparantieverplichtingen (artificialintelligenceact.eu)
Rechtspraak en toezichthouder-publicaties
- HvJ-EU C-311/18, Schrems II-arrest
- Autoriteit Persoonsgegevens, focusgebieden 2026-2028
- KNB, AI-afwegingskader Deel 1 (2025, PDF)
Vakliteratuur
- Mr. Online, De CLOUD Act en de Nederlandse advocaat (2025)
- Bureau Financieel Toezicht (BFT), toezicht notariaat
- FBN, Wwft vervalt in 2027: dit betekent de AMLR voor notarissen
- ICTRecht, Waar de Autoriteit Persoonsgegevens in 2026 op gaat letten
- AMLR, Verordening (EU) 2024/1624 (eur-lex)
Hardware en kosten
Verder lezen op deze site:
· EU AI Act voor notariskantoren, verplichtingen en tijdpad
· Wat VastPilot voor notariskantoren doet
· Wat VastPilot voor notariskantoren doet
· Waar uw data fysiek staat (data-soevereiniteit)
· Verwerkersovereenkomst (DPA) conform AVG artikel 28