Waarom Europa.

Een Belgische advocate opent op een dinsdagochtend haar laptop, drukt op een sneltoets en dicteert een memo over de aanstaande overname van een cliënt. Ze houdt de knop ingedrukt, spreekt veertig seconden, laat los. De verfijnde tekst belandt in haar e-mailconcept. Ze verstuurt het.

Ze heeft zojuist vertrouwelijke cliëntgegevens geëxporteerd naar een buitenlandse jurisdictie. Ze wist het niet. Haar kantoor heeft het niet goedgekeurd. Haar balie heeft het niet toegestaan. De dicteertool die ze gebruikte waarschuwde haar niet. Vanuit het oogpunt van de tool ging er niets fout.

Dit is de ongemarkeerde standaard van moderne AI-software. De audio reisde via een in de VS opgericht bedrijf, werd verwerkt op door de VS beheerde infrastructuur en valt nu onder Amerikaans recht. De intentie van de advocate doet er niet toe. Het compliancebeleid van haar kantoor doet er niet toe. De fysieke locatie van de server doet er niet toe. Zodra haar stem in de pipeline van een Amerikaanse aanbieder belandt, is de juridische positie van de cliëntgegevens veranderd.

De meeste mensen die deze tools bouwen, en de meeste die ze gebruiken, vinden dit feit ongemakkelijk genoeg om er liever niet recht naar te kijken. Dus markeert niemand het. Dus blijft het de standaard.

Er bestaat een Amerikaanse wet uit 2018, de Clarifying Lawful Overseas Use of Data Act, meestal afgekort als CLOUD Act. Hij doet één ding dat Europese gebruikers moeten weten: hij dwingt in de VS opgerichte bedrijven om gegevens op geldig verzoek aan Amerikaanse opsporingsdiensten te overhandigen, ongeacht waar die gegevens fysiek staan.

Lees die zin nog eens. De server kan in Frankfurt staan. Het bedrijf kan een Nederlandse dochter, een Franse DPO, een Belgisch verkoopkantoor hebben. Niets daarvan telt. Als het moederbedrijf in Delaware is opgericht, zijn de gegevens bereikbaar voor het Amerikaanse gezag. De CLOUD Act bevat ook bepalingen die kunnen voorkomen dat de aanbieder de klant überhaupt informeert dat het verzoek is gedaan.

In 2020 oordeelde het Hof van Justitie van de Europese Unie in de zaak die Schrems II wordt genoemd dat doorgiftes van gegevens EU-VS onder het oude Privacy Shield-kader niet adequaat waren. Het hof beredeneerde onder meer dat Europese gebruikers geen effectief rechtsmiddel hadden tegen de Amerikaanse surveillancebevoegdheden. Het hof verzon deze zorg niet. Het beschreef een structurele realiteit die de CLOUD Act twee jaar eerder al in wetgeving had bevestigd.

De AVG legt er nog eens druk bovenop. Artikel 32 verplicht elke verwerkingsverantwoordelijke om de beveiliging van de verwerking te waarborgen, ook tegen ongeoorloofde openbaarmaking. Wie verwerkingsverantwoordelijke is en een verwerker in de VS heeft, zit met een vraag waarop geen enkele algemene voorwaarden volledig antwoord geeft.

Je kunt twisten over de ernst van een individueel geval. Niet over de architectuur. Via de VS geroute dictaten zijn geen beleidsprobleem dat een beter contract oplost. Het is een jurisdictioneel probleem dat eist dat de data om te beginnen de grens niet oversteken.

Ik schrijf voor de kost code en ik dicteer alles wat ik schrijf. Het grootste deel van vorig jaar gebruikte ik Wispr Flow. Het werkt heel goed. Het team erachter is getalenteerd en het product is echt goed.

Toen las ik op een avond het deel van hun documentatie dat uitlegt waar de audio echt heen gaat. Ik las het twee keer. Ik klapte de laptop dicht. Ik zat een tijdje op het balkon.

Het datapad was precies wat ik had moeten verwachten: een in de VS opgericht bedrijf, verwerking via een in de VS gehoste modelaanbieder, audiobeslissingen genomen door Amerikaanse ingenieurs onder Amerikaans recht. Met de engineering was niets mis. Met het team was niets mis. Er was iets mis met de standaardinstellingen, en die standaarden golden voor mij, en ze golden voor elke Belgische, Nederlandse en Duitse consultant aan wie ik ooit de link had doorgestuurd.

Ik dicteerde al maanden klant-mails daarin. Zij ook.

Ik heb het opnieuw gebouwd.

Olinra draait op Mistral-modellen die in de EU worden gehost. De API is een Fastify-server in een Hetzner-datacenter in Neurenberg. Authenticatie is Supabase in Frankfurt. De audiobytes stromen rechtstreeks de Voxtral-aanvraag in en worden verwijderd zodra het antwoord binnen is. Er is geen S3-bucket, geen warme cache, geen transcript dat ergens anders dan op je eigen machine op een schijf leeft. De architectuur is het merk en het merk is de architectuur.

Als iets daarvan ooit niet meer waar is, is het merk voorbij. Zo serieus meen ik het.

Olinra is het antwoord van één bedrijf voor één productcategorie. Dicteren is een smal oppervlak. Deze pagina pleit er niet voor dat Europese gebruikers van dicteertool moeten wisselen. Ze pleit ervoor dat Europese gebruikers moeten ophouden met het behandelen van US-default routering als onvermijdelijk, in elke productcategorie die ze aanraken.

De Europese softwarebranche heeft hier grotendeels niet om gebouwd. De Amerikaanse softwarebranche, om begrijpelijke redenen, ook niet. Dus iemand moet beginnen, en het beginpunt zijn kleine, nuttige producten die een standpunt innemen en bewijzen dat dat standpunt te houden is.

Olinra is de mijne. Er komen andere. Eis ze van de software die je gebruikt.