De meeste gesprekken over gegevensbescherming bij AI-governance beginnen op de verkeerde plek. Ze gaan over welke certificeringen een leverancier heeft, welke sub-verwerkers hij vermeldt, in welke regio zijn cloud staat. Dat zijn reële vragen. Maar voor de specifieke categorie tooling die uw AI-agents bewaakt — die elke agent, sessie, elk model en elke MCP-server op uw infrastructuur ontdekt en in kaart brengt wat elk daarvan kan bereiken — schuilt daaronder een fundamentelere vraag: ontvangt de governancetool zelf ooit uw data?
Als het antwoord ja is, hebt u zojuist een nieuwe verwerker gecreëerd, een nieuwe kopie van gevoelig materiaal, een nieuwe plek die gehackt, gedagvaard of gedwongen kan worden naar huis te bellen. Als het antwoord nee is — structureel, by design — dan worden de meeste daaropvolgende AVG-vragen veel kleiner. Dit pleit voor het self-hosten van een AI-platform, en het is de moeite waard om dit precies te formuleren, zonder te overdrijven.
De privacygarantie die telt is structureel, geen certificaat
Een SOC 2-rapport of een ISO 27001-certificaat vertelt u dat een leverancier processen heeft rond de data die hij beheert. Dat is nuttig, maar het is een uitspraak over de governance van de toegang tot uw data. Een veel sterkere garantie is de data om te beginnen niet vasthouden. U kunt niet lekken, verkeerd verwerken of gedwongen worden te onthullen wat u nooit hebt ontvangen.
Self-hosting levert precies dat. Wanneer de control plane binnen uw eigen hosts, clusters of clouds draait — inclusief volledig air-gapped, zonder egress — verlaat het gevoelige materiaal dat hij observeert nooit uw perimeter. De leverancier is geen sub-verwerker van uw operationele data, omdat de leverancier die nooit te zien krijgt. Dat is een architecturaal feit, geen beleidsbelofte die u moet auditeren.
Om duidelijk te zijn over de stand van dit product: Olivares AI is pre-release. Het is niet gecertificeerd onder SOC 2, ISO/IEC 27001, de EU AI Act of enig ander raamwerk, en er loopt geen audit. Het product is ontworpen richting de beheersdoelstellingen die deze raamwerken onderzoeken — audit logging, toegangsbeheer, integriteit, encryptie, change management — zodat het klaar is om geauditeerd te worden wanneer het moment daar is. Het residentie-argument hieronder hangt niet af van enige certificering, en dat is precies de kern.
Edges, geen payloads
De kernontwerpkeuze is wat er wordt opgeslagen. Een AI-governancetool moet begrijpen wie wat kan aanraken. Hij heeft de inhoud van de queries niet nodig, niet de prompt-bodies, niet de secrets of de persoonsgegevens die door die handelingen stromen.
De graph slaat dus edges op, geen payloads: de toegangsrelatie tussen een agent en een resource, en of die toegang read (R) of read/write (RW) is. data-export-job → prod-postgres (RW) is een edge. De rijen die die job heeft gelezen, worden niet opgeslagen. De kaart legt vast dat een agent een object in s3://billing-exports heeft bereikt; hij kopieert de export niet.
| Opgeslagen (de toegangskaart) | Niet opgeslagen |
|---|---|
| Agent-identiteit (rol / applicatienaam) | Credential-waarden, tokens, sleutels |
Bereikte resource (prod-postgres) | Query-bodies, resultaatrijen |
| Toegangstype — R of RW | Prompt- en response-payloads |
| Tijdstempel, uitkomst, confidence-niveau | Secrets, PII in transit |
Inputs die mogelijk secrets of persoonsgegevens bevatten, worden geredigeerd en op secrets gescand voordat er iets wordt weggeschreven, zodat de redactie aan de rand van de verzameling plaatsvindt in plaats van als latere opschoning. Wat u niet opslaat, kunt u niet lekken — en wat u niet kunt lekken, vergroot uw AVG-verwerkingsvoetafdruk niet.
Hoe de data binnen de perimeter blijft
Drie eigenschappen houden dit in de praktijk eerlijk:
Read-first observatie. De collector observeert via signalen die u al produceert — applicatie- en auditlogs, OpenTelemetry, en eBPF als ground-truth-backstop op kernelniveau. Hij is geen proxy in het datapad van de agent, dus hij ziet de vorm van de toegang, niet de inhoud, en als hij uitvalt verbreekt hij nooit de productie. Er is geen verplichte man-in-the-middle die uw verkeer kopieert.
Geen telemetrie naar huis. Secure-by-default betekent geen phone-home. Leveranciers-telemetrie staat uit tenzij u die expliciet inschakelt. Niets over uw omgeving — niet de agentnamen, niet de toegangskaart, niet de gebruikscijfers — wordt standaard teruggestuurd naar de leverancier.
Air-gapped met nul egress. In afgesloten, gereguleerde of geclassificeerde netwerken draait de control plane volledig lokaal, met offline gevalideerde licenties. Er is geen weg naar buiten, punt. Voor een dataresidentie-eis die stelt dat EU-data op EU-infrastructuur onder uw beheer moet blijven, is een air-gapped self-hosted deployment het meest letterlijke antwoord dat mogelijk is: de data verplaatst zich nooit, omdat er nergens is waarheen ze zich kan verplaatsen.
Retentie en purge zijn configureerbaar, dus u bepaalt hoe lang zelfs de toegangskaart blijft bestaan.
Aansluiting op artikel 28 AVG — eerlijk
Artikel 28 AVG regelt de relatie tussen verwerkingsverantwoordelijke en verwerker en wat een verwerkersovereenkomst moet dekken. De relevante observatie is dat in een self-hosted deployment de gebruikelijke relatie van leverancier-als-verwerker voor uw operationele data grotendeels verdwijnt: omdat de tool in uw infrastructuur draait en die data nooit ontvangt, blijft u in de meeste deployments verwerkingsverantwoordelijke en verwerker van uw eigen data binnen uw eigen omgeving.
Dat maakt een verwerkersovereenkomst niet zinloos. Een commerciële relatie heeft er nog steeds baat bij om verantwoordelijkheden te formaliseren — voor de software-supplychain, voor support-toegang, voor enige toekomstige beheerde component. Een verwerkersovereenkomst onder artikel 28 is op verzoek beschikbaar voor enterprise-inkoop. Wat verandert is de reikwijdte: er is geen lijst van plaatsen waarheen uw persoonsgegevens zijn verzonden, omdat ze nooit zijn verzonden. Dat is een veel korter, veel beter verdedigbaar gesprek met een functionaris voor gegevensbescherming of een inkoopteam dan “vertrouw op onze lijst met sub-verwerkers”.
Dit is een structureel argument, dus behandel de grenzen met dezelfde eerlijkheid. Self-hosting verschuift de verantwoordelijkheid voor residentie en verwerking naar u; het neemt die niet weg. U beveiligt nog steeds de host, beheert de retentie en bepaalt wie de toegangskaart mag lezen — en die kaart is zelf gevoelig, en daarom wordt elke geprivilegieerde inzage erin geaudit en authenticeren componenten zich onderling met mutual TLS. Het product reduceert het leveranciersoppervlak tot vrijwel nul; het ontslaat de operator niet.
De kern
Als een toezichthouder, een functionaris voor gegevensbescherming of uw eigen securityteam vraagt “waar gaat onze data heen wanneer we deze AI-governancetool adopteren”, dan is het sterkst mogelijke antwoord “nergens — ze vertrekt nooit, en de tool ziet ze nooit”. Dat antwoord komt voort uit architectuur: self-hosted uitvoering, edges-not-payloads-opslag, redactie vóór wegschrijven, geen telemetrie naar huis, en air-gapped werking met nul egress. Een certificaat kan een goed proces staven; het kan niet tippen aan de garantie van data die nooit is ontvangen.
Wilt u de volledige, eerlijke versie van deze positie — inclusief de nog-niet-gecertificeerde compliance-houding en hoe een verwerkersovereenkomst onder artikel 28 AVG daarin past — zie dan /security. Leest u liever de code die de claim onderbouwt, dan is het complete product self-hostbaar onder AGPL-3.0 op de pagina /open-source.