Voor defensieleveranciers rond KMA Breda en Kamp Oirschot, voor MKB met Belgische entiteiten die onder dubbele jurisdictie vallen, en voor bedrijven die onder ITAR/EAR-exportcontrole werken
Breda heeft een unieke positie: het is de thuisbasis van de Koninklijke Militaire Academie (KMA) in het Kasteel van Breda, hoofdstad van de Nederlandse militaire officiersopleiding sinds 1828, en het ligt op fietsafstand van Kamp Oirschot, de grootste landmachtkazerne van Nederland en thuisbasis van de 13 Lichte Brigade — de gemechaniseerde brigade die in 2024 de oude 43 Gemechaniseerde Brigade van naam verving en samenwerkt met de Duitse 10. Panzerdivision. Rond die concentratie van Defensie-infrastructuur heeft zich een ecosysteem van defensieleveranciers en duale-gebruik-toeleveranciers ontwikkeld: onderhoudsbedrijven voor CV90 en Boxer, software-leveranciers voor command-and-control, ICT-partners voor MULAN-netwerken, simulator-bouwers, opleidingspartners voor de KMA. Daarnaast ligt Breda direct tegen de Belgische grens: veel MKB-bedrijven hebben een Belgische zuster-entiteit (vaak in Antwerpen of Turnhout) of verwerken klantgegevens die onder zowel Nederlandse (AP) als Belgische (GBA) toezichthouders vallen. Voor beide groepen — defensieleveranciers en cross-border MKB — is publieke cloud-AI simpelweg geen optie.
Private AI betekent voor Bredase bedrijven: een taalmodel, embedding-model en RAG-stack die volledig binnen eigen infrastructuur of binnen een Nederlandse souvereine cloud draaien. Geen data naar OpenAI, Anthropic, Google of Microsoft. Geen US-gebaseerde cloud-regio's. Geen API-calls die mogelijk onder de US CLOUD Act vallen — een wet die Amerikaanse autoriteiten in theorie toegang kan geven tot data opgeslagen bij US-providers, ook als die data fysiek in Europa staat. Voor defensiecontracten onder NATO AQAP-2110-standaarden (Allied Quality Assurance Publications voor Quality Management Requirements in design, development and production) en voor trajecten die onder US International Traffic in Arms Regulations (ITAR) of Export Administration Regulations (EAR) vallen, is "data blijft in Nederland" niet een marketing-claim maar een harde contractuele verplichting. Schending leidt tot contractverlies, boetes en in het uiterste geval tot strafrechtelijke vervolging van bestuurders.
Use-case 1: defensieleverancier met NATO AQAP-certificering en gerubriceerd documentatieverkeer. Een Brabantse toeleverancier die voor Defensie onderdelen levert voor de CV90 Mid-Life Update of het Boxer-programma werkt met technische documentatie die valt onder rubriceringsniveau Departementaal Vertrouwelijk of hoger. Engineering drawings, maintenance manuals, supplier quality records, NCR-rapportages (Non-Conformance Reports). Deze documenten mogen volgens NATO STANAG 4107 en de daarbij horende AQAP-2110 of AQAP-2310 (voor software) niet naar publieke cloud-AI. Tegelijk is de druk op engineering-afdelingen om AI in te zetten groot: het handmatig doorzoeken van 15 jaar aan NCR-archief voor een root-cause-analyse kost dagen. Een private LLM met RAG op de interne technische documentatie-repository (meestal Windchill, Teamcenter of SharePoint met DoD-compliant ACL's) doet dit in seconden — mits het model, de embeddings en de vector-store fysiek op NATO-goedgekeurde infrastructuur draaien. Wij deployen daarvoor on-premise op hardware die voldoet aan de NATO INFOSEC-richtlijnen, met role-based access dat mirror is van het HR-systeem-clearance-niveau (TNO Vertrouwelijk, Departementaal Vertrouwelijk, NAVO Confidential).
Use-case 2: ITAR/EAR-exportcontrole bij dual-use toeleveranciers. Een deel van de Bredase defensie-industrie werkt met componenten waarvan de technische specificaties onder US-exportcontrole vallen: encryptie-chips van Analog Devices, FPGA's van Xilinx/AMD, gyroscopes van Honeywell. Onder ITAR en EAR is het doorgeven van technische data (inclusief via een AI-model dat die data heeft gezien) aan een non-US-person zonder juiste licentie een export-schending — een zogenaamde "deemed export". In 2024 heeft het US Department of Commerce expliciet aangegeven dat het gebruik van generatieve AI met ITAR/EAR-data zonder licentie-review een rode vlag is. Praktisch betekent dit: een Brabantse engineer die een Chinese of Indiase cloud-AI-dienst gebruikt om een datasheet samen te vatten, schendt potentieel ITAR. Een private AI-deployment — volledig in Nederland, met audit-log per query, met expliciete user-identificatie per prompt — is de enige werkbare oplossing. Wij bouwen daarbij een ITAR/EAR-gate in de RAG-laag: documenten met exportcontrole-classificatie worden alleen geserved aan users waarvan het clearance-veld in Active Directory de juiste markering heeft, en elke query wordt gelogd met user-ID, timestamp, document-classificatie en query-hash voor eventuele export-licentie-audit.
Use-case 3: cross-border NL/BE data-residency bij dubbele jurisdictie. Een Bredaas MKB-bedrijf met een Belgische zuster-entiteit (vaak in Antwerpen, Hasselt of Turnhout) verwerkt klantgegevens die onder zowel de Nederlandse Autoriteit Persoonsgegevens (AP) als de Belgische Gegevensbeschermingsautoriteit (GBA) vallen. Beide toezichthouders hanteren de GDPR/AVG, maar de handhavingspraktijk verschilt: de AP publiceert relatief weinig boetes maar vraagt uitgebreide Data Protection Impact Assessments (DPIA's), de GBA publiceert meer kleinere boetes en heeft een actievere controle op AI-specifieke risico's. Voor internationale klanten — bijvoorbeeld Duitse eindgebruikers — komt daar de Bundesdatenschutzgesetz (BDSG) bij. Publieke cloud-AI die data naar US-regio's exporteert, zelfs tijdelijk voor inference, maakt compliance met al deze jurisdicties aantoonbaar moeilijk. Private AI in een Nederlands ISO 27001 + NEN 7510-datacenter (wij gebruiken standaard Serverius Dronten, Equinix AM3 Amsterdam of een Nederlandse tenant van Exoscale) houdt alle data binnen de EU, met contractuele garantie dat datacenter-operator onder EU-jurisdictie valt en geen US-moederbedrijf heeft dat via CLOUD Act gedwongen kan worden tot data-overdracht.
Use-case 4: sovereign LLM voor gemeente Breda en West-Brabantse overheid. De gemeente Breda en de Veiligheidsregio Midden- en West-Brabant hebben interne documentatie die valt onder de Baseline Informatiebeveiliging Overheid (BIO). De BIO schrijft voor dat rubricering Vertrouwelijk of hoger niet op publieke cloud mag staan, en dat AI-verwerking van burgerdata een expliciete DPIA en dataminimalisatie-toets vereist. Een sovereign LLM-deployment — een model dat getraind of gefine-tuned is op publieke Nederlandse tekst (zoals GEITje of Fietje als startpunt, plus domein-specifieke fine-tuning op geanonimiseerde gemeente-data) en dat on-premise of in een Nederlandse overheids-cloud draait, voldoet aan deze eisen. Wij bouwen daarbij een dual-jurisdictie-audit-laag: elke query wordt gelogd met betrokken burger-data-categorie, en het systeem blokkeert automatisch queries die BSN-nummers, strafrechtelijke gegevens of gezondheidsdata proberen te extraheren zonder expliciete DPIA-dekking voor die verwerking.
Infrastructuur-keuzes: on-premise vs. sovereign cloud. Voor defensiecontracten en ITAR/EAR-projecten is on-premise vaak verplicht — de hardware staat fysiek op de eigen site, air-gapped of in een DMZ met expliciete firewall-rules. Wij deployen daarbij standaard op NVIDIA H100 of H200 GPU's in een 2U- of 4U-server, draaiend op Ubuntu 22.04 LTS met vLLM als inference-engine en Llama 3.3 70B of Mistral Large 2 als basismodel (beide beschikbaar onder commerciële licenties die on-premise deployment toestaan). Voor minder gevoelige use-cases kiezen we voor een Nederlandse souvereine cloud: Leaseweb, TransIP Blockstorage, of een dedicated tenant bij een NL-datacenter zonder US-moeder. GPU-rental bij Lambda Labs EU of CoreWeave Frankfurt kan voor projecten waar on-premise CAPEX niet haalbaar is, mits het contract expliciet EU-only SLA's heeft zonder CLOUD Act-risico.
Model-selectie en fine-tuning-beleid. Voor defensie- en overheidscontracten gebruiken we alleen open-weight modellen (Llama, Mistral, Qwen) die lokaal draaien — geen API-calls naar OpenAI, Anthropic of Google, want die data verlaat altijd de EU. Voor Nederlandstalige use-cases combineren we een open-weight basis met continued pre-training op Nederlandse corpora (Wikipedia-NL, Delpher kranten-archief, geanonimiseerde klant-documentatie). Voor defensie-specifieke taal (NATO-terminologie, Nederlandse militaire doctrine, technisch jargon) doen we domein-fine-tuning op geanonimiseerde klant-documentatie onder een Data Processing Addendum dat expliciet exportcontrole-classificatie respecteert. Geen trainings-data verlaat ooit de klantomgeving.
Indicatieve investering. Een on-premise private AI-deployment voor een defensieleverancier met Llama 3.3 70B op één H100-server, RAG op 100k documenten, role-based access en AQAP-compatibele audit-logging: 85.000-140.000 euro eenmalig voor hardware en implementatie, plus 3.500-6.500 euro per maand voor onderhoud, monitoring en model-updates. Voor een cross-border MKB-deployment in Nederlandse souvereine cloud met DPIA-compatibele logging en dual NL/BE-audit-trail: 25.000-50.000 euro eenmalige implementatie, plus 1.800-4.500 euro per maand inclusief hosting. Voor een sovereign gemeente-LLM met BIO-compliance, burgerdata-audit en dataminimalisatie-gate: 60.000-120.000 euro eenmalig, plus 2.800-5.500 euro per maand. Alle trajecten starten met een 4-weekse security-assessment en dreigingsmodellering voordat ook maar één lijn code geschreven wordt.
Implementatie-traject. Fase 1 (weken 1-4): security-assessment, dreigingsmodellering, bepaling rubricering-niveau, opstellen Data Processing Addendum en eventuele NATO-compliance-documentatie. Fase 2 (weken 5-8): infrastructuur-provisioning (on-premise hardware-levering of sovereign cloud-setup), netwerk-segmentatie, AD-integratie voor role-based access. Fase 3 (weken 9-12): model-deployment, RAG-bouw op pilot-documentatie-set, audit-logging-inrichting. Fase 4 (weken 13-16): security-audit door externe partij (wij werken met Northwave Cyber Security of Fox-IT voor defensie-projecten), penetratie-test, go-live na vrijgave. Fase 5 (vanaf week 16): continue monitoring, kwartaal-audits op audit-logs, model-retraining op nieuwe documentatie.
Zie voor naastgelegen diensten en invalshoeken ook AI security Breda voor red-teaming en adversarial-testing van AI-systemen, AI compliance Breda voor EU AI Act-implementatie en de hoofdpagina Private AI voor de algemene dienst-specificatie. Parent-pagina voor deze regio is /regio/breda met volledig overzicht van West-Brabantse branche-focus en case-context.
Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.
AI Infrastructuur biedt private AI-infrastructuur voor Bredase bedrijven die werken met gevoelige handelsdata, logistieke informatie of intellectueel eigendom. Uw eigen AI-omgeving, volledig onder controle, zonder dat data naar externe partijen gaat.
On-premise private LLM op NVIDIA H100/H200-hardware met audit-logging, role-based access gespiegeld aan clearance-niveau (TNO Vertrouwelijk, Departementaal Vertrouwelijk, NAVO Confidential) en INFOSEC-compatibele netwerk-segmentatie. Geschikt voor toeleveranciers van CV90, Boxer en command-and-control-software aan 13 Lichte Brigade Oirschot en KMA Breda.
Documenten met US-exportcontrole-classificatie worden alleen geserved aan users met juiste Active Directory-markering. Elke query gelogd met user-ID, timestamp, document-classificatie en query-hash voor export-licentie-audit. Voorkomt "deemed export"-schendingen bij dual-use toeleveranciers (encryptie-chips, FPGA, gyroscopes).
Private AI in Nederlands ISO 27001 + NEN 7510-datacenter met contractuele garantie dat operator onder EU-jurisdictie valt zonder US-moeder (geen CLOUD Act-risico). Dual audit-trail voor aantoonbare compliance met NL Autoriteit Persoonsgegevens, Belgische Gegevensbeschermingsautoriteit en Duitse BDSG.
Voor overheid en BIO-compliant workloads: deployment van Llama 3.3 of Mistral Large met continued pre-training op Nederlandse corpora (Wikipedia-NL, Delpher) en optionele domein-fine-tuning op geanonimiseerde klant-data. Geen API-calls naar US-providers, trainings-data verlaat nooit de klantomgeving.
Antwoorden voor bedrijven in Breda
Ja. Onze on-premise deployment op NVIDIA H100/H200-hardware met vLLM inference-engine is geschikt voor AQAP-2110-trajecten (Quality Management Requirements in design, development and production) en AQAP-2310 (software). Hardware staat fysiek op klantsite of in air-gapped DMZ, role-based access gespiegeld aan clearance-niveau via Active Directory, audit-logging per query met user-ID en document-classificatie. We werken met externe security-audits door Northwave of Fox-IT voor defensie-projecten voordat go-live plaatsvindt. Documentatie voor de AQAP-auditor leveren we standaard als onderdeel van het project.
Wij bouwen een ITAR/EAR-gate in de RAG-laag: documenten met US-exportcontrole-classificatie (bijvoorbeeld datasheets van Analog Devices encryptie-chips, Xilinx/AMD FPGA of Honeywell gyroscopes) worden alleen geserved aan users waarvan het clearance-veld in AD de juiste markering heeft. Elke query wordt gelogd met user-ID, timestamp, document-classificatie en query-hash voor eventuele export-licentie-audit door BIS of DDTC. Dit voorkomt "deemed export"-schendingen die optreden als technische data via een AI-model bereikbaar is voor een non-US-person zonder juiste licentie. Het US Department of Commerce heeft in 2024 expliciet aangegeven dat generatieve AI met ITAR/EAR-data zonder licentie-review een rode vlag is.
Voor bedrijven met Nederlandse en Belgische entiteit (vaak een zuster in Antwerpen, Hasselt of Turnhout) hanteren we dual-jurisdictie-audit: elke data-verwerking wordt gelogd met betrokken jurisdictie, en het systeem genereert separate compliance-rapporten voor de Nederlandse Autoriteit Persoonsgegevens (AP) en de Belgische Gegevensbeschermingsautoriteit (GBA). Bij Duitse eindgebruikers voegen we BDSG-specifieke audit toe. Infrastructure staat standaard in Nederlands ISO 27001 + NEN 7510-datacenter met contractuele garantie dat de operator onder EU-jurisdictie valt en geen US-moederbedrijf heeft — dit sluit CLOUD Act-risico uit, een wet die anders in theorie US-autoriteiten toegang kan geven tot EU-opgeslagen data.
Voor defensiecontracten onder NATO AQAP en voor ITAR/EAR-trajecten is dat geen optie: beide providers zijn US-gebaseerd en vallen onder de CLOUD Act. Zelfs als data fysiek in Frankfurt of Amsterdam staat, kan een US-subpoena de moederorganisatie dwingen tot data-overdracht — een contractueel ondenkbaar scenario voor Defensie-werk. Voor minder gevoelige use-cases (MKB zonder defensie-component) kan Azure OpenAI in EU-regio werkbaar zijn, maar wij adviseren dan nog steeds een sovereign cloud-alternatief: Leaseweb, TransIP, een NL-datacenter-tenant of on-premise deployment. Voor BIO-compliant overheidswerk (gemeente Breda, Veiligheidsregio Midden- en West-Brabant) is een sovereign oplossing praktisch verplicht.
Alleen open-weight modellen die lokaal draaien: Llama 3.3 70B, Mistral Large 2, Qwen 2.5 of (voor kleinere workloads) Llama 3.1 8B en Mistral Nemo. Voor Nederlandstalige use-cases combineren we een open-weight basis met continued pre-training op Nederlandse corpora (Wikipedia-NL, Delpher kranten-archief) of starten we vanaf Nederlandse open-weight modellen als GEITje of Fietje. Voor defensie-specifieke taal (NATO-terminologie, Nederlandse militaire doctrine, technisch jargon) doen we domein-fine-tuning op geanonimiseerde klant-documentatie onder een expliciet DPA dat exportcontrole-classificatie respecteert. Trainings-data verlaat nooit de klantomgeving, model-weights blijven eigendom van de klant.
Voor on-premise deployment met Llama 3.3 70B op een NVIDIA H100-server, RAG op 100.000 documenten, role-based access gespiegeld aan clearance-niveau en AQAP-compatibele audit-logging: 85.000-140.000 euro eenmalig voor hardware en implementatie, plus 3.500-6.500 euro per maand voor onderhoud, monitoring en model-updates. Voor cross-border MKB-deployment in Nederlandse souvereine cloud met DPIA-compatibele logging en dual NL/BE-audit-trail: 25.000-50.000 euro eenmalig, plus 1.800-4.500 euro per maand inclusief hosting. Voor sovereign gemeente-LLM met BIO-compliance: 60.000-120.000 euro eenmalig, plus 2.800-5.500 euro per maand. Alle trajecten starten met een 4-weekse security-assessment voordat er code wordt geschreven.
Fase 1 (weken 1-4): security-assessment, dreigingsmodellering, rubricering-bepaling, Data Processing Addendum en NATO-compliance-documentatie. Fase 2 (weken 5-8): infrastructuur-provisioning (hardware-levering voor on-premise, of sovereign cloud-setup), netwerk-segmentatie, AD-integratie. Fase 3 (weken 9-12): model-deployment, RAG-bouw op pilot-documentatie, audit-logging. Fase 4 (weken 13-16): externe security-audit (Northwave of Fox-IT), penetratie-test, go-live na vrijgave. Fase 5 (vanaf week 16): continue monitoring, kwartaal-audits op audit-logs, model-retraining. Een defensie-project is typisch 16-20 weken van kick-off tot go-live; een cross-border MKB-project zonder AQAP-eisen haalbaar in 8-10 weken.
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaGeen verplichtingen. Een kort gesprek of AI-scan is vaak het snelste begin.
