"Local Is Not a Sufficient Privacy Boundary." Die titel vat de kernboodschap van een nieuw paper samen dat afgelopen weekend op arXiv verscheen. De auteurs, Jonghyun Chung en Sanket Badhe, beiden van Google, stellen iets wat de meeste organisaties liever niet horen: je AI-assistent die "volledig lokaal" draait, is daarmee nog geen privacy-veilige architectuur.

Het paper analyseert Apple Intelligence, Android AICore/Gemini Nano en Microsoft Recall en komt tot een ontnuchterende conclusie: lokale inferentie zegt alleen iets over waar de berekening plaatsvindt. Het zegt niets over wie context mag assembleren, welke afgeleide data persistent is, welke acties geautoriseerd zijn, welke telemetrie wegvloeit, of hoe updates het machtigingsmodel veranderen.

Privacy is geen deployment-attribuut, het is een institutioneel accountability-probleem.

De kernthese: local compute is geen privacy boundary

De paper maakt een fundamenteel onderscheid dat in de meeste AI-discussies ontbreekt:

Vraag	Klassieke on-device framing	Juiste governance-vraag
Waar draait het model?	Lokaal of cloud	Relevante, maar beperkte vraag
Wie mag context verzamelen?	Vaak impliciet OS/vendor	Moet expliciet worden beperkt
Welke data blijft bestaan?	Onduidelijk	Embeddings, summaries, caches, logs, vector stores
Welke acties mag de AI uitvoeren?	Tooling en app intents	Autorisatie, consent, least privilege
Wat gebeurt bij cloud fallback?	Marketingmatig vaak vaag	Routering, telemetry, logging, jurisdiction
Wat verandert bij updates?	Vertrouwen in vendor	Lifecycle-audit en regression control

De sterke zin uit het paper is feitelijk: lokale inferentie beantwoordt alleen waar computation plaatsvindt, niet wie gezag heeft over context, afgeleide data, acties en lifecycle-veranderingen.

In enterprise-termen: on-device AI verschuift privacy niet automatisch naar "laag risico", maar creëert een privileged orchestration layer tussen gebruiker, applicaties, data, identiteit, telemetrie en cloud.

OS-integrated AI is geen app, maar een semantic control plane

Een gewone app heeft beperkte sandbox-permissies. Een OS-geïntegreerde AI-assistent wordt iets fundamenteel anders: een semantic control plane boven het besturingssysteem.

Die control plane kan:

Context assembleren uit meerdere bronnen: e-mail, agenda, bestanden, scherminhoud, notificaties en app-status
Context reduceren naar embeddings, summaries of memory objects
Acties uitvoeren via tools, app-intents, automation frameworks of system API's
Routeren tussen lokale modellen, private cloud en publieke cloud
Telemetrie genereren voor kwaliteit, debugging, abuse detection of productverbetering
Via updates nieuwe permissies, modelcapaciteiten of routinglogica krijgen

Daarmee ontstaat een nieuw privacy-oppervlak, niet alleen data at rest en data in transit, maar ook data in context, data in derived state, data in action, en data in lifecycle drift.

Deze observatie sluit direct aan bij wat we eerder signaleerden over agentic security: NSA: MCP is de nieuwe enterprise control plane en Van prompt filter naar control plane. Het OS-geïntegreerde AI-probleem is dezelfde architectuuruitdaging, maar dan één abstractielaag lager, op OS-niveau in plaats van protocol-niveau.

De zes risicodomeinen

De paper specificeert een zesdelige privacy-risicotaxonomie die verder gaat dan de klassieke CIA-triade:

Risicodomein	Uitleg	Voorbeeld
Context aggregation	AI verzamelt context over app- en databronnen heen	Mail + agenda + scherm + bestanden worden één profiel
Derived-state persistence	Embeddings, summaries of memory blijven bestaan	Lokale vectorstore bevat gevoelige reconstructeerbare context
Authority expansion	AI krijgt handelingsmacht via tools of app intents	Mail sturen, bestanden wijzigen, kalenderacties uitvoeren
Cloud fallback & routing opacity	Moeilijke requests worden naar cloud gestuurd	Prompt of context verlaat device zonder duidelijke zichtbaarheid
Telemetry & observability leakage	Logs, crash reports, usage metrics lekken metadata	Prompt-fragmenten of tool metadata in vendor analytics
Lifecycle/update drift	Updates veranderen capabilities of permissions	Nieuwe OS-release breidt AI-toegang uit zonder auditbare herbeoordeling

Deze taxonomie is sterk omdat zij privacy niet reduceert tot encryptie of lokale inferentie, maar koppelt aan informatieflow, autorisatie, persistentie en governance.

Governance-interpretatie: privacy als institutionele accountability

De paper positioneert privacy als een institutional accountability problem, niet als deployment property. Dat is precies de juiste framing. In AVG-termen:

AVG-principe	Vertaling naar OS-integrated AI
Dataminimalisatie	Context assembleren moet purpose-bound en tijdelijk zijn
Doelbinding	AI mag context niet hergebruiken voor andere taken zonder basis
Transparantie	Gebruiker moet zien welke bronnen worden gebruikt
Juistheid	Afgeleide summaries en embeddings kunnen fout of verouderd zijn
Opslagbeperking	Derived state moet TTL, purge en provenance hebben
Integriteit en vertrouwelijkheid	Tooling, memory en cloud fallback moeten Zero Trust ontworpen zijn
Accountability	Vendor én organisatie moeten auditbaar bewijzen wat gebeurt

Voor gereguleerde sectoren is dit cruciaal. Een lokaal draaiende assistent die dossiers, e-mail, zaaksinformatie, medische data of juridische documenten kan correleren, is alsnog een verwerkingslaag onder de AVG. Lokaal draaien verandert niets aan de plicht tot DPIA, logging, autorisatiemodel, dataretentie, rechten van betrokkenen en verwerkerscontrole.

Platformvergelijking: Apple, Android en Microsoft Recall

De paper past het framework documentatie-gebonden toe op drie platformen:

Platform	Privacybelofte	Governance-risico
Apple Intelligence	Sterke positionering op on-device AI met Private Cloud Compute	Complexe boundary tussen lokaal, private cloud en app intents
Android AICore/Gemini Nano	Lokale modelruntime in Android-stack	Fragmentatie, OEM-variatie, Google-service-integratie
Microsoft Recall	Semantische indexering via lokale screenshots	Extreem hoog risico door continue schermcontext en persistent memory

Microsoft Recall is de scherpste casus. Niet omdat screenshots per definitie onveilig zijn, maar omdat screen-mediated memory een bijzonder krachtige vorm van contextaggregatie is. Zelfs lokaal opgeslagen snapshots kunnen gevoelige gegevens bevatten uit apps, browsers, documenten, chat, wachtwoordmanagers, klantomgevingen of remote desktops.

Het paper rapporteert dat Apple op architectural privacy narratives vermoedelijk het hoogst scoort, Microsoft Recall het grootste derived-state risico illustreert, en Android ertussen zit, maar met governance-complexiteit door ecosysteemfragmentatie.

De Local Agent Privacy Boundary: van paper naar praktijk

De paper is bijna één-op-één vertaalbaar naar lokale agent-architecturen, inclusief de workstation/agent-opstelling die veel organisaties overwegen.

Het architectuurprincipe is helder: niet zeggen "het draait lokaal, dus het is veilig", maar: "een lokale agent is pas privacygeschikt wanneer contexttoegang, memory, toolgebruik, telemetrie, cloud routing en lifecycle updates expliciet begrensd, zichtbaar en auditbaar zijn."

Concreet vertaald naar controls:

Control	Implementatie voor lokale agents
Context firewall	Per-agent policy voor file access, mail, browser, shell, vectorstores
Capability tokens	Toolgebruik alleen via scoped, short-lived capabilities
Memory governance	Append-only memory met provenance, TTL, invalidation en deletion workflow
Cloud routing policy	Expliciete allowlist per model/provider, geen stille fallback
Prompt/data classification	Classificeer input vóór modelrouting, lokaal vs. cloud scheiden
Tool-call approval gates	Human-in-the-loop voor mutating actions
Telemetry minimization	Geen prompt bodies in logs, alleen hashed metadata waar nodig
Update drift detection	Elke update opnieuw toetsen op permissies, routing en memory behavior
Audit rubric	Vier niveaus: undocumented, documented, enforceable, independently auditable

Dit is dezelfde architectuur die we eerder schetsten voor MCP-security: de vier-lagen control plane, maar nu toegepast op het OS-niveau in plaats van het protocol-niveau.

Van "local-washing" naar governed-local: een maturity-model

Op basis van het paper valt een vijf-level maturity-model te destilleren:

Niveau	Naam	Kenmerk	Risico
L0	Local-washing	"Lokaal" als marketingclaim	Hoog, geen bewijs
L1	Documented locality	Beschrijving van lokale inferentie	Nog steeds onduidelijke context en memory
L2	Controlled context	Bronselectie, permissies, logging	Redelijk, maar lifecycle-risico blijft
L3	Governed local AI	Policy enforcement, audit logs, memory controls, cloud routing gates	Enterprise-ready
L4	Verifiable local AI	Attestation, reproducible audits, formele information-flow constraints	Regulated/high-assurance ready

De paper bepleit impliciet dat OS-integrated AI minimaal richting L3 moet bewegen. L0 en L1 zijn onvoldoende. Dit maturity-model is direct toepasbaar in aanbestedingstrajecten: "Toon aan dat uw OS-AI op niveau 3 of hoger scoort op context governance, memory retention en tool mediation."

Conclusie: van "local-first" naar "governed-local"

Deze paper is relevant omdat hij een noodzakelijke correctie aanbrengt in het huidige AI-discours: privacy is geen eigenschap van de plaats waar het model draait, maar van de totale informatie- en autoriteitsarchitectuur rondom het model.

Voor enterprise, publieke sector, rechtspraak, zorg, financiën en high-assurance AI betekent dit concreet:

On-device AI verlaagt bepaalde risico's, maar elimineert privacy-risico niet. Het verschuift het relevante dreigingsmodel van cloud-provider naar huisgenoot, malware, werkgever-surveillance of compelled access.
OS-integrated AI moet worden behandeld als privileged infrastructure. Het is geen app, het is een semantic control plane met toegang tot alle data-silo's van de gebruiker.
Embeddings, summaries, screenshots en agent memory zijn afgeleide persoonsgegevens wanneer herleidbaarheid of contextuele identificatie mogelijk is. Ze vallen onder AVG, BIO2 en de AI Act.
Cloud fallback moet expliciet, zichtbaar en beleidsmatig afdwingbaar zijn. Geen stille routing van prompts naar publieke cloud-modellen zonder dat de gebruiker of de DPO dit kan auditen.
AI-updates moeten door privacy- en security regression gates. Elke OS-update die AI-capabilities uitbreidt, moet opnieuw getoetst worden op permissies, routing, memory-behavior en telemetrie.
"Local-first" moet worden vervangen door "governed-local": policy-enforced, auditable-by-design, met een harde control plane tussen het model en de rest van het systeem.

Gebaseerd op: Chung, J. & Badhe, S. (2026). "Local Is Not a Sufficient Privacy Boundary: Governing OS-Integrated On-Device AI." arXiv:2606.10173.

Lees ook: NSA: MCP is de nieuwe enterprise control plane, Van prompt filter naar control plane, en MCP-security: de vier-lagen control plane architectuur.

Privacy is geen deployment-attribuut, het is een institutioneel accountability-probleem.

De kernthese: local compute is geen privacy boundary

De paper maakt een fundamenteel onderscheid dat in de meeste AI-discussies ontbreekt:

Vraag	Klassieke on-device framing	Juiste governance-vraag
Waar draait het model?	Lokaal of cloud	Relevante, maar beperkte vraag
Wie mag context verzamelen?	Vaak impliciet OS/vendor	Moet expliciet worden beperkt
Welke data blijft bestaan?	Onduidelijk	Embeddings, summaries, caches, logs, vector stores
Welke acties mag de AI uitvoeren?	Tooling en app intents	Autorisatie, consent, least privilege
Wat gebeurt bij cloud fallback?	Marketingmatig vaak vaag	Routering, telemetry, logging, jurisdiction
Wat verandert bij updates?	Vertrouwen in vendor	Lifecycle-audit en regression control

De sterke zin uit het paper is feitelijk: lokale inferentie beantwoordt alleen waar computation plaatsvindt, niet wie gezag heeft over context, afgeleide data, acties en lifecycle-veranderingen.

OS-integrated AI is geen app, maar een semantic control plane

Een gewone app heeft beperkte sandbox-permissies. Een OS-geïntegreerde AI-assistent wordt iets fundamenteel anders: een semantic control plane boven het besturingssysteem.

Die control plane kan:

Context assembleren uit meerdere bronnen: e-mail, agenda, bestanden, scherminhoud, notificaties en app-status
Context reduceren naar embeddings, summaries of memory objects
Acties uitvoeren via tools, app-intents, automation frameworks of system API's
Routeren tussen lokale modellen, private cloud en publieke cloud
Telemetrie genereren voor kwaliteit, debugging, abuse detection of productverbetering
Via updates nieuwe permissies, modelcapaciteiten of routinglogica krijgen

Daarmee ontstaat een nieuw privacy-oppervlak, niet alleen data at rest en data in transit, maar ook data in context, data in derived state, data in action, en data in lifecycle drift.

Deze observatie sluit direct aan bij wat we eerder signaleerden over agentic security: NSA: MCP is de nieuwe enterprise control plane en Van prompt filter naar control plane. Het OS-geïntegreerde AI-probleem is dezelfde architectuuruitdaging, maar dan één abstractielaag lager, op OS-niveau in plaats van protocol-niveau.

De zes risicodomeinen

De paper specificeert een zesdelige privacy-risicotaxonomie die verder gaat dan de klassieke CIA-triade:

Risicodomein	Uitleg	Voorbeeld
Context aggregation	AI verzamelt context over app- en databronnen heen	Mail + agenda + scherm + bestanden worden één profiel
Derived-state persistence	Embeddings, summaries of memory blijven bestaan	Lokale vectorstore bevat gevoelige reconstructeerbare context
Authority expansion	AI krijgt handelingsmacht via tools of app intents	Mail sturen, bestanden wijzigen, kalenderacties uitvoeren
Cloud fallback & routing opacity	Moeilijke requests worden naar cloud gestuurd	Prompt of context verlaat device zonder duidelijke zichtbaarheid
Telemetry & observability leakage	Logs, crash reports, usage metrics lekken metadata	Prompt-fragmenten of tool metadata in vendor analytics
Lifecycle/update drift	Updates veranderen capabilities of permissions	Nieuwe OS-release breidt AI-toegang uit zonder auditbare herbeoordeling

Deze taxonomie is sterk omdat zij privacy niet reduceert tot encryptie of lokale inferentie, maar koppelt aan informatieflow, autorisatie, persistentie en governance.

Governance-interpretatie: privacy als institutionele accountability

De paper positioneert privacy als een institutional accountability problem, niet als deployment property. Dat is precies de juiste framing. In AVG-termen:

AVG-principe	Vertaling naar OS-integrated AI
Dataminimalisatie	Context assembleren moet purpose-bound en tijdelijk zijn
Doelbinding	AI mag context niet hergebruiken voor andere taken zonder basis
Transparantie	Gebruiker moet zien welke bronnen worden gebruikt
Juistheid	Afgeleide summaries en embeddings kunnen fout of verouderd zijn
Opslagbeperking	Derived state moet TTL, purge en provenance hebben
Integriteit en vertrouwelijkheid	Tooling, memory en cloud fallback moeten Zero Trust ontworpen zijn
Accountability	Vendor én organisatie moeten auditbaar bewijzen wat gebeurt

Platformvergelijking: Apple, Android en Microsoft Recall

De paper past het framework documentatie-gebonden toe op drie platformen:

Platform	Privacybelofte	Governance-risico
Apple Intelligence	Sterke positionering op on-device AI met Private Cloud Compute	Complexe boundary tussen lokaal, private cloud en app intents
Android AICore/Gemini Nano	Lokale modelruntime in Android-stack	Fragmentatie, OEM-variatie, Google-service-integratie
Microsoft Recall	Semantische indexering via lokale screenshots	Extreem hoog risico door continue schermcontext en persistent memory

De Local Agent Privacy Boundary: van paper naar praktijk

De paper is bijna één-op-één vertaalbaar naar lokale agent-architecturen, inclusief de workstation/agent-opstelling die veel organisaties overwegen.

Concreet vertaald naar controls:

Control	Implementatie voor lokale agents
Context firewall	Per-agent policy voor file access, mail, browser, shell, vectorstores
Capability tokens	Toolgebruik alleen via scoped, short-lived capabilities
Memory governance	Append-only memory met provenance, TTL, invalidation en deletion workflow
Cloud routing policy	Expliciete allowlist per model/provider, geen stille fallback
Prompt/data classification	Classificeer input vóór modelrouting, lokaal vs. cloud scheiden
Tool-call approval gates	Human-in-the-loop voor mutating actions
Telemetry minimization	Geen prompt bodies in logs, alleen hashed metadata waar nodig
Update drift detection	Elke update opnieuw toetsen op permissies, routing en memory behavior
Audit rubric	Vier niveaus: undocumented, documented, enforceable, independently auditable

Dit is dezelfde architectuur die we eerder schetsten voor MCP-security: de vier-lagen control plane, maar nu toegepast op het OS-niveau in plaats van het protocol-niveau.

Van "local-washing" naar governed-local: een maturity-model

Op basis van het paper valt een vijf-level maturity-model te destilleren:

Niveau	Naam	Kenmerk	Risico
L0	Local-washing	"Lokaal" als marketingclaim	Hoog, geen bewijs
L1	Documented locality	Beschrijving van lokale inferentie	Nog steeds onduidelijke context en memory
L2	Controlled context	Bronselectie, permissies, logging	Redelijk, maar lifecycle-risico blijft
L3	Governed local AI	Policy enforcement, audit logs, memory controls, cloud routing gates	Enterprise-ready
L4	Verifiable local AI	Attestation, reproducible audits, formele information-flow constraints	Regulated/high-assurance ready

Conclusie: van "local-first" naar "governed-local"

Voor enterprise, publieke sector, rechtspraak, zorg, financiën en high-assurance AI betekent dit concreet:

On-device AI verlaagt bepaalde risico's, maar elimineert privacy-risico niet. Het verschuift het relevante dreigingsmodel van cloud-provider naar huisgenoot, malware, werkgever-surveillance of compelled access.
OS-integrated AI moet worden behandeld als privileged infrastructure. Het is geen app, het is een semantic control plane met toegang tot alle data-silo's van de gebruiker.
Embeddings, summaries, screenshots en agent memory zijn afgeleide persoonsgegevens wanneer herleidbaarheid of contextuele identificatie mogelijk is. Ze vallen onder AVG, BIO2 en de AI Act.
Cloud fallback moet expliciet, zichtbaar en beleidsmatig afdwingbaar zijn. Geen stille routing van prompts naar publieke cloud-modellen zonder dat de gebruiker of de DPO dit kan auditen.
AI-updates moeten door privacy- en security regression gates. Elke OS-update die AI-capabilities uitbreidt, moet opnieuw getoetst worden op permissies, routing, memory-behavior en telemetrie.
"Local-first" moet worden vervangen door "governed-local": policy-enforced, auditable-by-design, met een harde control plane tussen het model en de rest van het systeem.

Gebaseerd op: Chung, J. & Badhe, S. (2026). "Local Is Not a Sufficient Privacy Boundary: Governing OS-Integrated On-Device AI." arXiv:2606.10173.

Lees ook: NSA: MCP is de nieuwe enterprise control plane, Van prompt filter naar control plane, en MCP-security: de vier-lagen control plane architectuur.

Local is geen privacygarantie — waarom OS-geïntegreerde AI om een nieuw governance-model vraagt

De kernthese: local compute is geen privacy boundary

OS-integrated AI is geen app, maar een semantic control plane

De zes risicodomeinen

Governance-interpretatie: privacy als institutionele accountability

Platformvergelijking: Apple, Android en Microsoft Recall

De Local Agent Privacy Boundary: van paper naar praktijk

Van "local-washing" naar governed-local: een maturity-model

Conclusie: van "local-first" naar "governed-local"

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

Zero Trust voor AI-agenten is noodzakelijk, maar niet voldoende

Anthropic publiceert Zero Trust blauwdruk voor AI-agents. Dit is wat er nog ontbreekt.

GDPRuler — waarom compliance een runtime systems-probleem is, geen documentatieprobleem

Local is geen privacygarantie — waarom OS-geïntegreerde AI om een nieuw governance-model vraagt

De kernthese: local compute is geen privacy boundary

OS-integrated AI is geen app, maar een semantic control plane

De zes risicodomeinen

Governance-interpretatie: privacy als institutionele accountability

Platformvergelijking: Apple, Android en Microsoft Recall

De Local Agent Privacy Boundary: van paper naar praktijk

Van "local-washing" naar governed-local: een maturity-model

Conclusie: van "local-first" naar "governed-local"

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

Zero Trust voor AI-agenten is noodzakelijk, maar niet voldoende

Anthropic publiceert Zero Trust blauwdruk voor AI-agents. Dit is wat er nog ontbreekt.

GDPRuler — waarom compliance een runtime systems-probleem is, geen documentatieprobleem