De Verenigde Staten beschuldigen het Chinese AI-bedrijf DeepSeek van diefstal van technologie. Het gaat om code en kennis die zou komen van Amerikaanse ontwikkelaars. De zaak speelt in Washington en kwam de afgelopen dagen naar buiten. Dit maakt ook de Europese AI-verordening gevolgen overheid en bedrijven meteen concreet.
VS opent onderzoek naar DeepSeek
Amerikaanse autoriteiten onderzoeken of DeepSeek ongeoorloofd AI-technologie heeft verkregen. Het zou gaan om hulpmiddelen die nodig zijn om grote datamodellen te trainen. Denk aan broncode, onderzoek en interne documentatie. Het onderzoek richt zich op mogelijke inbreuk op bedrijfsgeheimen en beveiliging.
DeepSeek ontwikkelt onder meer het redeneermodel DeepSeek-R1. Een redeneermodel voert meerdere denkstappen uit om tot een antwoord te komen. Zulke systemen vragen veel rekenkracht en zeer grote trainingsdata. De herkomst van die code en data staat nu ter discussie.
De Amerikaanse inzet past in bredere maatregelen rond economische veiligheid. Eerder legde Washington al beperkingen op voor geavanceerde chips en rekencentra. Het doel is om strategische AI-kennis te beschermen. Op het moment van schrijven is geen formele aanklacht publiek gemaakt.
Aantijgingen raken intellectueel eigendom
Kern van de zaak is intellectueel eigendom en bedrijfsgeheimen. Dat gaat om kennis die commerciƫle waarde heeft en vertrouwelijk is. Ongeoorloofd kopiƫren of delen kan strafbaar zijn. Bedrijven kunnen dan schadevergoeding en een verbod eisen.
In AI is het verschil tussen open en gesloten code belangrijk. Open broncode mag worden gebruikt binnen de licentie. Gesloten code, modelgewichten of interne datasets mogen dat niet. Onzeker blijft hoe DeepSeek de betwiste techniek precies heeft verkregen.
Modelgewichten zijn extra gevoelig, omdat ze het geleerde van een systeem vastleggen. Wie daar toegang toe heeft, kan het model vaak namaken of verbeteren. Dat schaadt de concurrent. Het kan ook beveiligingsrisicoās vergroten.
āModelgewichten zijn de getrainde parameters die bepalen hoe een algoritme keuzes maakt. Ze leggen de ākennisā van een AI-systeem vast.ā
EU-toezicht op AI wordt strenger
De Europese AI-verordening (AI Act) zet nieuwe plichten voor aanbieders en gebruikers. Hoge-risicosystemen moeten extra documentatie, datagovernance en toezicht hebben. Importeurs en distributeurs in de EU delen die verantwoordelijkheid. Dat geldt ook als een tool buiten Europa is gemaakt.
Voor overheden zijn de Europese AI-verordening gevolgen overheid ingrijpend. Aanbestedingen moeten letten op herkomst van data, rechten op code en beveiliging. Leveranciers moeten de keten kunnen uitleggen, van dataset tot modelversie. Zonder die transparantie dreigt uitsluiting of boete.
Als in training persoonsgegevens zijn gebruikt, geldt ook de AVG. Dan zijn dataminimalisatie, rechtsgrond en versleuteling vereist. Organisaties moeten risicoās vooraf toetsen, bijvoorbeeld met een DPIA. Overtredingen kunnen hoge sancties opleveren op het moment van schrijven.
Nederlandse gebruikers lopen compliance-risico
Nederlandse bedrijven en kennisinstellingen die DeepSeek-modellen inzetten, kunnen operationeel risico lopen. Bij juridische stappen of sancties kan toegang plots wegvallen. Contracten moeten daarom exit-clausules en escrow voor modellen regelen. Ook is een plan B met alternatieve systemen verstandig.
IT- en securityteams doen er goed aan leveranciers te screenen. Vraag om bewijs van databronnen, licenties en modelherkomst. Log versies, modelgewichten en evaluaties voor audit. Dit sluit aan bij NIS2-verplichtingen voor essentiƫle diensten.
Let ook op export- en sanctieregels in de keten. Amerikaanse beperkingen kunnen doorwerken via cloudproviders of marktplaatsen. Kies waar mogelijk voor EU-gehoste varianten en Europese aanbieders. Dat verlaagt zowel juridische als operationele onzekerheid.
Tot slot is het zaak de inzet van AI breed te documenteren. Maak een register van systemen, doelen en datasets. Controleer of leveranciers voldoen aan de AI Act en de AVG. Zo blijft innovatie mogelijk binnen duidelijke grenzen.