Post-quantum cryptografie is geen abstract laboratoriumonderwerp meer voor ondernemingen die AI-, cloud- en datadiensten inkopen. De Amerikaanse overheid heeft de migratie naar quantumveilige cryptografie omgezet in uitvoeringswerk, NIST werkt aan aanpassingen voor PIV-identiteitsstandaarden en leveranciers zullen steeds vaker moeten uitleggen welke algoritmen, certificaten en sleutelketens zij gebruiken. Voor Nederlandse organisaties is de praktische vraag welke afhankelijkheden zij delen met dezelfde cloud-, identity- en AI-infrastructuur, en welke gegevens nog gevoelig zijn wanneer quantumcapaciteit verder opschuift.
Dit artikel behandelt post-quantum cryptografie als bestuursdossier. De kern is een inventaris die bestuur, legal, security en inkoop samen kunnen lezen: welke gegevens blijven lang gevoelig, welke systemen beschermen AI-logs of modelgewichten, welke contracten noemen migratie of crypto-agility, en welke leverancier kan zijn routekaart bewijzen? Die inventaris is juridisch relevant omdat veel moderne complianceplichten draaien om aantoonbaarheid. Een AI-governanceprogramma dat technisch dossier, logging en risicobeheer serieus neemt, moet ook weten of het bewijs zelf cryptografisch houdbaar blijft.
De post legt een brug tussen NIST-standaarden, Amerikaanse PQC-uitvoering, IBM's quantumroadmap en bestaande AIRecht-thema's rond quantum governance en due diligence. De verrassend nuchtere conclusie is dat de eerste goede maatregel geen futuristische voorspelling is. Zij is een lijst: algoritmen, certificaten, systemen, leveranciers, bewaartermijnen, eigenaars en ontbrekende antwoorden. Zodra die lijst bestaat, kan het bestuur prioriteren zonder te vervallen in quantumhype of schijnzekerheid. Dat maakt het onderwerp bruikbaar voor contractonderhandelingen, auditcommissies en technische teams die anders langs elkaar heen praten.
Voor AIRecht-lezers ligt de commerciële waarde in een compacte review van AI- en quantumgovernance: een vaste briefing die cryptografische inventaris, leveranciersclausules, AI-bewijsstukken en bestuursvragen naast elkaar legt. Zo krijgt post-quantum migratie een controleerbare plek binnen AI Act-, cyber-, privacy- en contractgovernance. De bijdrage eindigt met concrete leveranciersvragen en een klein bestuurskader waarmee organisaties kunnen beginnen zonder hun hele securityprogramma opnieuw uit te vinden, juist bij lopende cloud- en AI-inkoop en nieuwe leveranciersreviews.
Meer lezen