Van algoritmestandaard naar bewijsstuk

De cryptografische kern is bekend. NIST heeft FIPS 203, FIPS 204 en FIPS 205 als post-quantum standaarden gepubliceerd voor sleuteluitwisseling en digitale handtekeningen. In juni 2026 meldde NIST bovendien werkteksten voor PQC-aanpassingen aan PIV-standaarden, dus voor federale identiteitsmiddelen en credentials. Zodra identiteit meebeweegt, schuift post-quantum beveiliging naar de plekken waar organisaties macht en bewijs toekennen. Zij raakt toegang, bewijs en mandaat.

Dat is juridisch interessant omdat veel governanceprogramma's nog beginnen bij beleidsdocumenten. Een AI-beleid, een privacybeleid of een leveranciersbeleid kan netjes zijn geformuleerd, terwijl niemand weet welke klassieke sleutelparen de database, het modelregister of de auditlog beschermen. Bij een later incident helpt een bestuursverklaring dan weinig. Een toezichthouder, klant of rechter zal willen zien welke inventaris bestond, welke risico's bekend waren, welke prioriteiten zijn gekozen en waarom een migratievolgorde redelijk was. De inventaris wordt bewijs.

Cloudflare schreef naar aanleiding van het Amerikaanse post-quantum bevel dat de migratie concreet wordt zodra organisaties hun externe verbindingen, interne systemen en leverancierspaden in kaart brengen. Die praktische lezing van het bevel is bruikbaar buiten de federale context. Zij verschuift de aandacht van de mythische quantumcomputer naar de gewone lijst: certificaten, TLS-terminatie, VPN's, SSO, code signing, lang bewaarde datasets en systemen die over vijf jaar nog dezelfde geheimen dragen. De lijst is het begin van zorgvuldigheid.

Waarom AI-governance meeloopt

AIRecht kijkt hiernaar als cybersecuritykwestie én als governancekwestie. AI-systemen gebruiken cryptografie om trainingsdata te verplaatsen, modelgewichten te beschermen, logging te bewaren, API-verkeer te authenticeren en toegangsrechten te scheiden. Een organisatie die onder de EU AI Act een technisch dossier, logging, risicobeheer en menselijk toezicht moet organiseren, kan die verplichtingen moeilijk serieus nemen als het onderliggende bewijs later cryptografisch broos blijkt. AI-governance heeft een cryptografische bodem.

De verbinding met leveranciers is nog scherper. AI-diensten worden zelden volledig binnenshuis gebouwd. Er zijn modelproviders, cloudhosts, annotatiebedrijven, identity-leveranciers, monitoringtools en security vendors. Inkoop vraagt vaak naar ISO-certificaten en verwerkersovereenkomsten, maar minder vaak naar een cryptografische routekaart. Dat gat is merkbaar bij lang bewaarde gegevens: medische data, biometrie, onderzoeksdata, broncode, defensiegerelateerde informatie en datasets die later alsnog gevoelig worden. Store now, decrypt later is voor zulke gegevens geen sciencefiction, maar een contractueel due-diligencepunt.

De meest bruikbare analogie komt uit het jaarrekeningrecht. Een bedrijf hoeft niet al zijn risico's op een dag te elimineren. Het moet wel kunnen uitleggen wat het wist, hoe het materieel risico bepaalde, wie eigenaar was van de maatregel en welke voortgang controleerbaar is. Post-quantum migratie verdient dezelfde soberheid: een controleerbaar cryptografisch register dat past bij bestuursvergaderingen, vendor reviews en auditcommissies.

De hardwareklok tikt anders dan de complianceklok

Quantumhardware maakt grote beloften en kent tegelijk harde technische grenzen. IBM presenteert in zijn Quantum 2026 Technology Atlas and Roadmap onder meer Nighthawk en een pad naar modulaire systemen, terwijl onderzoekers en ondernemingen blijven benadrukken dat fouttolerantie, schaal en bruikbare algoritmen verschillende horden zijn. Juridisch is die nuance essentieel. Een post-quantum programma mag niet suggereren dat Shor op bedrijfsrelevante schaal al klaarstaat. Het mag evenmin wachten tot die dag in de krant staat. Compliance werkt met voorbereidingstijd.

Die spanning verklaart waarom de Amerikaanse overheid werkt met data, rollen en tussenstappen. Federal News Network beschreef hoe het nieuwe PQC-bevel de overgang voor federale agentschappen versnelt en druk zet op uitvoerbare plannen. De waarde van zulke berichtgeving ligt in de bestuurlijke vorm: benoem een eigenaar, inventariseer kwetsbare cryptografie, prioriteer hoge waarde en leg leveranciersvragen vast. Een migratie zonder dossier is later moeilijk te verdedigen.

Voor Europa komt daar een tweede dimensie bij. De AI Act, NIS2, DORA, de Cyber Resilience Act en sectorale zorgplichten bewegen allemaal richting aantoonbaarheid. De instrumenten verschillen, maar ze delen een bewijsinstinct: laat zien hoe het systeem is ontworpen, beheerd, getest en aangepast. Een onderneming die post-quantum migratie als apart technisch project behandelt, mist daardoor de kans om hetzelfde dossier te laten spreken in AI-, cyber-, privacy- en contractgovernance. Een goede inventaris reist tussen regimes.

Een praktisch bestuurskader

Een werkbaar post-quantum dossier hoeft niet groot te beginnen. Het moet scherp beginnen. De eerste laag is een cryptografische inventaris: gebruikte algoritmen, certificaten, sleutellengtes, locaties, eigenaars, leveranciers, looptijden en afhankelijkheden. De tweede laag is dataclassificatie: welke gegevens blijven lang gevoelig, welke handtekeningen moeten jaren bewijswaarde houden, welke systemen raken burgers, patiënten, klanten of vitale processen. De derde laag is contractueel: welke leverancier kan PQC ondersteunen, wanneer, met welke uitzonderingen en met welke testresultaten. Drie lagen zijn genoeg voor een eerste bestuursbesluit.

Daarna volgt de juridische vraag naar prioriteit. Niet elk systeem verdient dezelfde haast. Een marketingtool met kortlevende sessies is iets anders dan een archief met medische onderzoeksdata of een code-signingketen voor kritieke software. De bestuursnotitie moet daarom een redelijke migratievolgorde tonen: hoge waarde, lange geheimhouding, identiteitsinfrastructuur, externe koppelingen en leveranciers met veel downstream-afhankelijkheden eerst. Redelijkheid zit in de volgorde.

Een compacte checklist kan veel ruis wegnemen. Bestuur en legal kunnen per systeem vijf vragen stellen: welke cryptografie wordt gebruikt; welke gegevens of beslissingen beschermt zij; hoe lang moet de bescherming standhouden; welke leverancier of interne eigenaar kan migreren; en welk bewijs toont voortgang? Als één antwoord ontbreekt, is dat geen schande. Het ontbrekende antwoord wordt dan zelf een actiepunt. Onwetendheid moet zichtbaar worden.

AIRecht koppelt dit graag aan bestaande compliancepaden. De pagina over due diligence, regulatory compliance en conformity laat zien hoe technische en juridische zorgplichten samenkomen. Wie al werkt met AI-impact assessments, leveranciersdossiers of conformiteitschecks, hoeft geen nieuwe bureaucratie te bouwen. Voeg cryptografische velden toe aan het bestaande dossier en leg vast waar de organisatie een apart PQC-briefingdocument nodig heeft. De route loopt via bestaande governance.

Wat leveranciers moeten kunnen beantwoorden

Leveranciersvragen moeten concreet zijn. De frase "quantum ready" zegt te weinig. Vraag welke protocollen en producten geraakt worden, welke NIST-standaarden op de roadmap staan, welke hybride migratiemodus beschikbaar is, hoe certificaatrotatie werkt, welke logging de klant krijgt en of contractuele service levels worden geraakt. Vraag ook naar afhankelijkheden bij onderaannemers. Een leverancier verkoopt geen geruststelling, maar bewijs.

Voor AI-leveranciers komt daar model- en dataketenbewijs bij. Waar staan trainingsdata, embeddings, logs en evaluatieresultaten? Welke data blijft langer bewaard dan nodig? Welke export- of back-upketens gebruiken klassieke cryptografie? Welke handtekeningen bewijzen later dat een modelversie, dataset of auditlog niet is gewijzigd? Deze vragen sluiten aan bij bredere AI-governancepraktijken, waaronder de standaardenbenadering die Daiki eerder besprak in de analyse over ISO 42001, compliance, trust en innovatie. Cryptografie maakt AI-bewijs houdbaar.

Ook eerdere AIRecht-publicaties over quantumbeleid blijven relevant. De bespreking van het CNAS-rapport The Entanglement Edge ging over quantum networking, cybersecurity en strategische prioriteiten. Deze week is het perspectief kleiner en daardoor bruikbaarder voor ondernemingen: de sleuteladministratie van vandaag bepaalt hoeveel bewegingsruimte het netwerk van morgen krijgt. Strategie begint in de serverkast.

De commerciële les: koop geen gerust gevoel

De markt zal snel woorden aanbieden: quantum-safe, future-proof, crypto-agile, AI-secure. Sommige claims zijn terecht. Andere claims zijn te vroeg, te algemeen of alleen waar voor een deel van de stack. Bestuurders en juristen hoeven de wiskunde niet zelf te bewijzen, maar zij moeten wel het verkoopverhaal kunnen terugbrengen tot controleerbare velden. Welk systeem, welk algoritme, welke datum, welke eigenaar, welk bewijs. Terminologie is geen controlemaatregel.

Voor organisaties die AI-, cloud- of datacontracten vernieuwen, is dit het moment om PQC-vragen in de contractscanner en leveranciersreview op te nemen. AIRecht kan daarbij helpen met een vaste, beperkte review: een brongebonden AI- en quantumgovernance brief die de cryptografische inventaris, leveranciersclausules en bestuursvragen naast elkaar legt. De uitkomst is een dossier voor de eerste redelijke beslissingen, zonder brede transformatiecampagne. Het doel is bestuurbare zekerheid.

De juridische kern is uiteindelijk eenvoudig. Post-quantum migratie beoordeelt de kwaliteit van besluiten die nu worden genomen terwijl de technische klok doorloopt. Een onderneming die vandaag weet waar haar sleutels, contracten en AI-bewijsstukken kwetsbaar zijn, staat later sterker dan een onderneming die wacht op perfecte zekerheid. Voorzorg begint met een leesbaar dossier.

Bronnen geraadpleegd op 29 juni 2026: Cloudflare over het Amerikaanse post-quantum bevel; NIST over PQC-werkteksten voor PIV-standaarden; IBM Quantum 2026 Technology Atlas and Roadmap; Federal News Network over federale PQC-uitvoering; AIRecht over CNAS en quantum networking. Deze bijdrage is algemene informatie en geen juridisch advies.