Als tijd bewijs wordt: quantumveiligheid in het AI-toezichtdossier
Een spoorboekje, een processtuk, een ziekenhuislog en een luchthaven-slot beginnen allemaal met hetzelfde stille uitgangspunt: de klok klopt. Pas daarna komt de juridische vraag wie wat heeft gedaan, welke versie van een dossier gold, of een algoritmische beslissing op tijd is herzien. Dat klinkt banaal tot de tijd zelf onderdeel wordt van het risico. GPS-storing, kwetsbare tijdbronnen, verlopen certificaten, oude encryptie en onleesbare auditlogs horen dan niet langer bij de technische bijlage. Zij worden bewijsrecht, toezicht en bestuur.

De klok achter het AI-dossier
De EU AI Act vraagt bij hoog-risicosystemen om technische documentatie, logging, menselijke controle, datagovernance en post-market monitoring. In zo'n dossier telt niet alleen wat er is vastgelegd. Ook de volgorde, herkomst en integriteit van die vastlegging worden belangrijk. Een modelupdate vóór of na een incident, een waarschuwing die wel of niet tijdig is opgevolgd, een bias-test die bij de aanbesteding bestond maar bij ingebruikname was vervallen: telkens rust de juridische reconstructie op tijd.
Daarom is quantumveiligheid voor AIRecht geen exotische cryptografische hobby. Het raakt de vraag of een onderneming, toezichthouder of rechter over vijf of tien jaar nog kan vertrouwen op oude digitale sporen. Wie vandaag AI-besluiten neemt over krediet, zorg, onderwijs, werk of publieke toegang, bouwt een bewijsarchief voor conflicten die pas later zichtbaar worden. De bekende waarschuwing rond “harvest now, decrypt later” gaat dus ook over bestuursdossiers: gegevens en handtekeningen die nu veilig lijken, kunnen later hun bewijskracht verliezen.
PQC is uitvoering, geen voorspelling meer
De standaardisatie is inmiddels concreet. NIST heeft met FIPS 203 voor ML-KEM en de bredere post-quantum cryptography-lijn een publiek anker gegeven voor migratie. Grote cloudpartijen schrijven ondertussen praktische migratiepaden uit; AWS publiceerde bijvoorbeeld een CISO-gids voor post-quantum mandates and migrations en een aparte pagina over migrating to post-quantum cryptography. Voor Europese organisaties is dat geen Amerikaanse curiositeit. Het wordt leveranciersbeleid, assurance, contracttaal en auditmateriaal.
De recente beweging in Zuid-Korea, de VS en de cloudmarkt laat dezelfde bestuurlijke verschuiving zien: PQC-vervanging gaat van norm naar programma. Financiële pilots, federale migratiedeadlines en quantum-industrieel beleid dwingen organisaties om cryptografie niet meer als onzichtbare infrastructuur te behandelen. Wie AI-systemen inkoopt of beheert, moet weten welke certificaten, sleuteluitwisselingen, handtekeningen, tijdstempels, logopslag en back-ups onder het systeem liggen. Zonder die inventaris blijft het AI Act-dossier mooi geordend papier boven kwetsbare leidingen.
Tijdbronnen worden toezichtobjecten
De minder zichtbare laag is PNT: positioning, navigation and timing. GPS en verwante systemen leveren niet alleen locatie. Zij leveren ook tijdsignalen voor netwerken, handelssystemen, energie-infrastructuur, telecom, logistiek, defensie en meetapparatuur. Wanneer storing, spoofing of geopolitieke druk die signalen raakt, ontstaat geen puur technisch ongemak. Er ontstaat twijfel over volgorde, synchronisatie en verantwoordelijkheid.
Quantum sensing en alternatieve tijdinfrastructuur worden daardoor een governance-thema. Zij kunnen op termijn robuustere meet- en navigatiesystemen leveren, maar brengen meteen vragen mee over certificering, inkoop, exportcontrole, marktconcentratie en publieke afhankelijkheid. Een gemeente die slimme mobiliteit inkoopt, een bank die realtime fraudedetectie gebruikt, of een ziekenhuis dat AI-triage logt, hoeft geen quantumfysica te bedrijven. Zij moet wel weten of haar tijd- en bewijslaag faalt wanneer de primaire bron hapert.
Privacy vraagt om leesbaar bewijs
Privacyprofessionals zien het punt inmiddels ook. De IAPP vroeg recent waarom privacy professionals post-quantum cryptography serieus moeten nemen. Het antwoord is sober: persoonsgegevens hebben soms een langere levensduur dan de cryptografie die ze beschermt. Medische dossiers, biometrische gegevens, overheidsbesluiten, personeelsdata en trainingsdatasets blijven langdurig relevant nadat een algoritme, platform of leverancier alweer is vervangen.
Voor de AVG en de AI Act is dat ongemakkelijk. Accountability vraagt om aantoonbaarheid, maar aantoonbaarheid vereist dat documenten, logs, sleutels en handtekeningen later nog verifieerbaar zijn. Een burger die een geautomatiseerde beoordeling betwist, heeft weinig aan een keurige governanceverklaring als de tijdstempels, hashketens of certificaten niet meer controleerbaar zijn. Een onderneming die een incident uitlegt aan de Autoriteit Persoonsgegevens of een markttoezichthouder heeft evenmin genoeg aan “we volgden de standaard van toen” wanneer zij niet kan tonen welke standaard, welke versie en welke uitzondering golden.
De inkoopvraag: wie garandeert de klok?
AI-inkoopgesprekken blijven vaak hangen bij modelprestatie, dataverwerking, aansprakelijkheid en service levels. Die onderwerpen blijven nodig. Alleen hoort daar nu een hardere laag onder: cryptografische en temporele garanties. Welke componenten gebruiken RSA of ECC? Welke onderdelen ondersteunen ML-KEM of andere NIST-lijnen? Welke tijdbron ondertekent logs? Hoe wordt sleutelrotatie vastgelegd? Kan de leverancier een Cryptographic Bill of Materials of vergelijkbare inventaris leveren? Wie draagt de kosten als een certificaatketen of bibliotheek versneld moet worden vervangen?
AIRecht schreef eerder over de cryptografische inventaris als bestuursdossier, over ML-KEM als inkoop- en auditvraag en over het dubbele technische dossier bij quantum-AI. Deze nieuwe laag is de klok onder die drie dossiers. Een leverancier kan een fraai modelrapport leveren, maar de klant heeft weinig aan bewijs zonder betrouwbare tijd. Contracten moeten daarom niet alleen vragen naar “quantum-safe” ondersteuning, maar naar migratiepaden, testmomenten, auditrechten, incidentmeldingen, back-upintegriteit en bewijs van tijdsynchronisatie.
Een compacte beslisroute voor bestuur en toezicht
Een bruikbare beslisroute begint bij systemen waar AI, persoonsgegevens en langlevend bewijs samenkomen. Denk aan kredietacceptatie, fraudedetectie, medische triage, HR-selectie, onderwijsbesluiten, publieke dienstverlening, cybersecurity en kritieke leveranciers. Voor elk systeem hoort het bestuur vier vragen te stellen. Eén: welke beslissingen en logs moeten over jaren nog bewijswaarde hebben? Twee: welke cryptografie, certificaten en tijdbronnen dragen die bewijswaarde? Drie: welke leverancier kan de migratie naar post-quantum normen aantonen, inclusief uitzonderingen? Vier: wie beslist wanneer een oud bewijsarchief opnieuw moet worden verzegeld, geconverteerd of aanvullend gedocumenteerd?
Die route is klein genoeg om in een bestuursvergadering te passen en scherp genoeg voor procurement. Zij voorkomt dat quantumveiligheid verdwijnt in een technisch project zonder juridische eigenaar. De CISO, privacy officer, jurist, inkoper en product owner kijken dan naar hetzelfde object: een leesbaar toezichtdossier met tijd, cryptografie en AI-governance in één keten. Dat past ook bij de normale bestuursrechtelijke intuïtie. Een besluit zonder dossier is kwetsbaar; een digitaal besluit zonder betrouwbare tijd en verifieerbare sleutels wordt dat nog sneller.
Van compliance naar publiek vertrouwen
De humane inzet is eenvoudig. Burgers, werknemers en klanten moeten een beslissing kunnen betwisten zonder eerst de geschiedenis van cryptografische standaarden te reconstrueren. Bedrijven moeten kunnen aantonen dat zij redelijk hebben gehandeld, ook wanneer technologie verschuift. Toezichthouders moeten incidenten kunnen lezen zonder afhankelijk te worden van de leverancier die het probleem veroorzaakte. Dat vraagt om publiek begrijpelijke bewijsbaarheid, niet om mystiek rond quantum.
Voor organisaties die hun AI Act- of quantumgovernance-dossier willen aanscherpen, kan een vaste review helpen: inventaris van cryptografie en tijdbronnen, contractclausules voor migratie, logging-eisen, privacybewaartermijnen en leverancierstesten in één map. AIRecht kan daarvoor een fixed-scope AI governance en regulatory compliance review leveren, met een praktische koppeling naar aanbesteding en bestuursdossier. De kernvraag blijft nuchter: kan dit bewijs later nog spreken wanneer de klok, de sleutel of het model is veranderd?
Publieke bronnen zijn geraadpleegd op 8 juli 2026, waaronder de EU AI Act, NIST PQC-publicaties, AWS post-quantum migratiegidsen, IAPP-privacyanalyse en recente publieke quantum- en cybersecuritysignalen. Samen geven zij een publieke bronbasis voor één nuchtere conclusie: AI-bewijs blijft alleen bruikbaar wanneer tijd, sleutels en logs even zorgvuldig worden bestuurd als het model zelf.