AI Act-Compliant Kennis Updaten Zonder Hercertificering

Er zit een fundamentele spanning in de EU AI Act: high-risk AI-systemen moeten accuraat en actueel blijven (Artikel 15), maar elke significante wijziging kan een nieuwe conformiteitsbeoordeling vereisen (Artikel 43). Voor Nederlandse overheidsorganisaties is dit een reëel probleem.

Het MeMo-framework van MIT CSAIL en NUS biedt een elegante uitweg.

De compliance-paradox

Stel: een ministerie gebruikt een LLM voor het beantwoorden van WOO-verzoeken. Het systeem is in 2025 gecertificeerd. In 2026 verandert de wet. De modelkennis klopt niet meer.

| Aanpak | Compliance-probleem | |--------|-------------------| | Retrain het model | Nieuwe conformiteitsbeoordeling nodig; €50K-€150K auditkosten | | RAG (document retrieval) | Faalt bij complexe juridische redenering; cross-document hallucinaties | | Niets doen | Non-compliance AI Act Artikel 15 — boetes tot €35M |

MeMo doorbreekt deze patstelling door het AI-systeem te splitsen in twee componenten:

1. Executive Model — het redenerende hoofdmodel (bevroren, gecertificeerd)
2. Memory Model — het kennismodel (los, trainbaar, wekelijks te updaten)

BIO2 en NORA implicaties

• BIO2: Executive model blijft binnen scope; Memory model als aparte module met eigen beveiliging
• NORA modulariteit (AP-04): Heldere scheiding redenering/kennis
• NORA interoperabiliteit (AP-03): Werkt met elk LLM, voorkomt vendor lock-in
• Continuïteit (AP-08): Kennis veroudert niet meer

De business case

| Post | Zonder MeMo | Met MeMo | |------|------------|----------| | Modelretraining (per keer) | €80K - €200K | €0 | | AI Act hercertificering | €50K - €150K | €0 | | BIO2 pentest (per update) | €30K - €80K | €0 (alleen initieel) | | Totale update-kosten | €160K - €430K | €5K - €15K |

Voor een ministerie met 3-5 AI-systemen loopt de besparing in de miljoenen.

DjimIT ondersteunt overheidsorganisaties bij de implementatie van MeMo-architecturen.