internetveiligheid

Lily Heisig: “Als je veiligheid uitsluitend technisch definieert, vallen de sociale gevolgen buiten de kaders”

donderdag, november 6, 2025 | Interviews

Lily Heisig, winnares van de eerste prijs van de KHMW-Scriptieprijzen Responsible Internet 2025, onderzocht in haar masterscriptie hoe de Europese Unie de risico’s van kunstmatige intelligentie (AI) definieert. In Europese beleidsstukken klinkt steeds vaker dat “de hele samenleving” gevaar loopt door AI. Maar wie beter kijkt, ziet dat het begrip risico in de praktijk opvallend smal wordt ingevuld.

Heisig volgde de internationale discussie over AI-veiligheid, die aanvankelijk vooral in de VS en het VK werd gevoerd, al langer met belangstelling. “Ik wilde weten: als die Angelsaksische veiligheidsdiscussie zo dominant is, wat gebeurt er dan als die in Brussel terechtkomt?” vertelt ze.

Voor haar scriptie analyseerde ze drie opeenvolgende versies van de Europese General-Purpose AI Code of Practice. Terwijl ze daarmee bezig was, werden de teksten herhaaldelijk herschreven. Ze las de verschillende versies op detailniveau: welke woorden keren terug, welke risico’s verdwijnen naar de achtergrond? Haar methode combineerde kritische discoursanalyse met inzichten uit de exacte vakken. Zo onderzocht ze wie in het beleidsproces een stem krijgt, welke belangen meespelen en wie juist uitgesloten wordt.

In de latere versies van de code, zag ze, verschoof de toon: technischer, smaller, en sterker gericht op de eigenschappen van AI-modellen zelf. “Daardoor werd AI vooral iets voor experts,” zegt Heisig. “Sinds de terugkeer van Donald Trump in de Amerikaanse politiek oefenen grote techbedrijven meer druk uit op de EU om de regels ‘werkbaar’ te houden. In dat licht is het niet vreemd dat de Europese teksten zich toespitsen op een paar duidelijk afgebakende risico’s.”

Voor algemeen toepasbare AI-modellen met een systeemrisico onderscheidt de EU vier specifieke gevaren: aanvallen op de cybersecurity, militaire of repressieve toepassingen, verlies van controle over systemen en schadelijke beïnvloeding. “Er worden dystopische scenario’s geschetst, maar de alledaagse, moeilijker zichtbare risico’s verdwijnen uit beeld,” stelt Heisig. “Denk aan discriminatie in algoritmen, ongelijke toegang tot technologie, de aanslag op het milieu, de schendingen van het kopierecht en de slechte arbeidsomstandigheden bij dataverwerking. Als je veiligheid uitsluitend technisch definieert, vallen de sociale gevolgen buiten de kaders.”

Dat heeft politieke consequenties. “Wie risico’s technisch definieert, nodigt vooral technische experts uit aan tafel. Burgers, ngo’s of deskundigen op het gebied van mensenrechten of arbeid komen dan nauwelijks aan bod. Taal is hier niet neutraal: met je woordkeus bepaal je wie mag meebeslissen.”

Heisig gelooft niet in het doembeeld van een superintelligente machine die “de wereld overneemt”. Waar ze wel bezorgd over is, is de manier waarop mensen menselijke eigenschappen toeschrijven aan systemen als ChatGPT en die gaan gebruiken als gesprekspartner of zelfs therapeut. “Dat is geen neutrale ontwikkeling: we gaan anders kijken naar wat menselijk is.”

Inmiddels heeft Heisig een promotieaanvraag ingediend om te onderzoeken welke ideeën over ‘intelligentie’ schuilgaan achter de criteria waarmee AI-systemen worden getest. “Veel van die toetsen waarderen wiskundig en kwantitatief redeneren hoger dan kennis van mens en samenleving. Dan lijkt het alsof ‘intelligentie’ vooral wiskunde ís. Maar dat is natuurlijk ook een keuze.”

Heisig groeide op in Aken en koos bewust voor een studie net over de grens, aan Maastricht University. “In Nederland kun je makkelijker tussen disciplines bewegen dan in Duitsland. Ik had nooit één lievelingsvak; Maastricht bood me de vrijheid om technologie, politiek en filosofie te combineren. Voor dit soort vraagstukken heb je die breedte nodig.”

Haar belangrijkste inzicht: “Als een beleidsstuk zegt dat ‘de hele samenleving’ risico loopt, moet je altijd vragen: wélk risico precies, en voor wíe? Vaak blijkt het antwoord veel smaller dan de grote woorden doen vermoeden.”

Dirk Doesburg: “Het internet is een vriendelijk systeem – maar niet iedereen speelt eerlijk”

donderdag, november 6, 2025 | Interviews

Dirk Doesburg won de tweede prijs in de categorie KHMW Responsible Internet Scriptieprijzen. In zijn masterscriptie onderzocht hij hoe het internet ook in de toekomst veilig kan blijven, wanneer kwantumcomputers de huidige beveiliging dreigen te doorbreken.

Je scriptie gaat over post-quantumcryptografie voor de Resource Public Key Infrastructure (RPKI). Wat doet de RPKI precies, en waarom is die zo belangrijk?
Het internet bestaat uit duizenden kleinere netwerken – van providers als Ziggo tot techreuzen als Google – die elkaar voortdurend vertellen welke adressen via wie bereikbaar zijn. Dat systeem heet BGP, en dat is eigenlijk de routeplanner van het internet. Alleen kunnen netwerken daarin liegen: een land of bedrijf kan beweren dat het een bepaald adres beheert, waardoor al het verkeer verkeerd wordt doorgestuurd. De RPKI is een beveiligingslaag die zulke manipulaties voorkomt.

Hoe realistisch is het risico dat kwantumcomputers die beveiliging straks kunnen breken?
Daar wordt verschillend over gedacht. De meeste experts verwachten dat het binnen tien tot dertig jaar zover kan zijn. Het is dus niet morgen, maar ook niet ver weg. Omdat de overstap naar nieuwe, kwantumveilige cryptografie tijd kost, moeten we nu al nadenken over die transitie.

En hoe ziet zo’n overstap eruit?
In principe vervang je de huidige cryptografie door algoritmes die bestand zijn tegen kwantumaanvallen. Ik heb onderzocht welke algoritmes daarvoor het meest geschikt zijn en hoe de migratie het best kan worden uitgevoerd. Als nieuw cryptografisch algoritme komt Falcon-512 goed uit de test. Een bestaande – maar nooit uitgeprobeerde – standaard voor de migratie naar een ander algoritme, RFC6916, blijkt onpraktisch. Ik stel een eenvoudiger alternatief voor dat beter aansluit bij de werkelijkheid van netwerkbeheerders.

Wie moet die overstap uitvoeren, en wie beslist daarover?
Het beheer van de RPKI ligt bij vijf regionale internetregisters, zoals RIPE NCC in Amsterdam. Dat zijn verenigingen van netwerken die in een hiërarchie samenwerken. Zij beheren de software en nemen uiteindelijk de besluiten. Boven hen staat geen overheid, maar verschillende ngo’s zoals ICANN en de Internet Engineering Task Force spannen zich samen in om het internet draaiende te houden. Overheden zouden kunnen ingrijpen, maar dat gebeurt zelden: het internet wordt vooral vanuit de gemeenschap zelf bestuurd.

Dat klinkt idealistisch. Kunnen we zulke NGO’s en techbedrijven wel vertrouwen?
Ik vertrouw bedrijven als Google of Meta niet zomaar – ze hebben hun eigen commerciële belangen. Maar zij zijn slechts enkele van de duizenden spelers in dit systeem. De RPKI regelt juist dat geen enkele partij de boel kan domineren. De organisaties die de standaarden beheren, werken open en transparant. Iedereen kan meelezen en meediscussiëren via openbare mailinglijsten. Omdat beslissingen op basis van consensus worden genomen, is het moeilijk voor één bedrijf of persoon om iets door te drukken.

Dus er is een vorm van sociale controle ingebouwd?
Precies. Het internet is in de kern een vriendelijk, samenwerkend systeem van mensen die willen dat het werkt. Maar er zijn altijd uitzonderingen – netwerken die verkeerde intenties hebben. Voor die situaties is de RPKI ontworpen: om te zorgen dat zelfs als iemand vals speelt, de schade beperkt blijft.

Je werkt ook samen met de Internet Engineering Task Force (IETF), waar internetstandaarden worden ontwikkeld. Wordt er naar je geluisterd?
Ik heb een voorstel voor een standaard geschreven. Of dat echt wordt opgepakt, is afwachten; dat kan jaren duren. Het hangt sterk af van de prioriteiten binnen de gemeenschap. Maar men weet nu in elk geval dat dit onderwerp eraan komt.

Welke persoonlijke eigenschappen hebben je geholpen bij dit onderzoek?
Nieuwsgierigheid, vooral. Ik lees veel, graaf in oude mailarchieven van de IETF om te zien hoe besluiten ooit zijn genomen. Zo leer je begrijpen waarom iets werkt zoals het werkt. En ik onthoud die informatie makkelijk, dat helpt.

Wat doe je nu, en hoe zie je je toekomst?
Ik werk bij een bedrijf dat AI toepast op long-CT-scans – iets heel anders dus. Een loopbaan in de wetenschap zie ik niet voor me: ik zou mezelf niet kunnen tegenhouden om tachtig uur per week aan één onderwerp te werken. En juist die balans tussen werk en privé vind ik belangrijker.

Kalender

19/01/2026: Jan Brouwer Conferentie & uitreiking KHMW Brouwer Vertrouwensprijzen 2026
28/01/2026: Prijsuitreiking – KHMW Hogeschool Inholland Haarlem Afstudeerprijs en Studentondernemersprijs 2026
06/02/2026: Prijsuitreiking – KHMW Jan Brouwer Scriptieprijzen
12/02/2026: Prijsuitreiking - Mercator Sapiens Stimulus 2026
08/03/2026: Transition Talks

Brouwer Vertrouwensprijs

De KHMW is op zoek naar hét maatschappelijke initiatief dat het onderling vertrouwen in de Nederlandse samenleving versterkt. Het is voor iedereen mogelijk om initiatieven aan te melden die kans maken op de Brouwer Vertrouwensprijs van € 100.000 euro óf de tweede prijs van € 50.000.

Voorwaarden en aanmelden, ga naar: https://khmw.nl/vertrouwensprijs/