Het AI Omnibus Akkoord: uitstel of afstel? Wat u moet weten en hoe u zich voorbereidt

In mei 2026 bereikten de Europese Raad en het Europees Parlement een voorlopig politiek akkoord over de zogeheten Digitale Omnibus voor AI. Deze reeks gerichte wijzigingen op de EU AI Act, en op aanpalende wetgeving zoals de AVG, geeft de markt meer ademruimte, maar introduceert tegelijkertijd nieuwe, scherpe spelregels. Voor veel organisaties voelt het akkoord als een verademing, want de strenge deadlines voor hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI-systemen schuiven significant op. Maar vergis u niet: de lat voor verantwoorde AIverantwoorde AIHet geheel van principes waaraan een AI-systeem zou moeten voldoen: eerlijkheid, veiligheid en betrouwbaarheid, privacy, beveiliging en robuustheid, transparantie en uitlegbaarheid, verantwoording, en menselijk toezicht. Breed gedeeld en liggend onder de EU AI Act en de grote frameworks. Op zichzelf zijn de principes intentieverklaringen; de wet maakt er plichten van die alleen waargemaakt kunnen worden als ze in de governance van de organisatie zijn verankerd. Zo landt verantwoorde AI in governance in plaats van ernaast. GovCompass ordent de zeven principes in een control-raamwerk, de GovCompass-7, met één pijler per principe. Zie principe, pijler, governance.Open full entry → blijft onverminderd hoog, en de toezichthouders zijn operationeel.

Wat betekent dit akkoord precies voor uw organisatie? In dit artikel analyseren we de vier belangrijkste wijzigingen en leggen we uit waarom dit het moment is om AI-governancegovernanceHet stelsel waarmee een organisatie zichzelf bestuurt: corporate governance, risicobeheer, compliance, verantwoordingslijnen, risicobereidheid en het besturingsmodel. Het bestaat over alles wat de organisatie doet, voor en los van AI. AI governance is ditzelfde stelsel, uitgebreid voor AI. Zie AI governance, governance design, executie.Open full entry → structureel in te richten, in plaats van de extra tijd als excuus te gebruiken om niets te doen.

De vier belangrijkste wijzigingen uit het AI Omnibus akkoord

1. verlengde deadlines voor hoog-risico AI

Oorspronkelijk zouden de zwaarste deployer-verplichtingen voor hoog-risico AI-systemen al per 2 augustus 2026 ingaan. De Omnibus verschuift deze deadlines aanzienlijk:

• 2 december 2027: De nieuwe deadline voor op zichzelf staande hoog-risico AI-systemen (Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry →), systemen voor werving & selectie, biometrische identificatie, kredietbeoordeling, onderwijs en rechtshandhaving. Dit zijn de zogenaamde stand-alone toepassingen die direct binnen de werkprocessen van deployers vallen.
• 2 augustus 2028: De deadline voor AI-systemen die als veiligheidscomponent zijn geïntegreerd in gereguleerde producten (Bijlage I), zoals medische hulpmiddelen, luchtvaarttechnologie en industriële machines. Oorspronkelijk gold hier 2 augustus 2027.

Wat niet is uitgesteld: de transparantieverplichtingen uit Art. 50 (onder meer de plicht om eindgebruikers te informeren dat zij met een AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → communiceren) blijven van kracht per 2 augustus 2026. Hetzelfde geldt voor Art. 4 (AI Literacy) en Art. 5 (verboden praktijkenverboden praktijkenAI-toepassingen die onder de AI Act ronduit verboden zijn, zoals social scoring, manipulatieve technieken en het ongericht schrapen van gezichtsbeelden. Zie social scoring, biometrische categorisering.Open full entry →), die al since 2 februari 2025 gelden. Het uitstel heeft uitsluitend betrekking op de zware compliance-verplichtingen voor hoog-risico systemen: FRIAFRIAFundamental Rights Impact Assessment, vereist van publieke organen en bepaalde private gebruiksverantwoordelijken voordat ze sommige hoog-risico-AI-systemen onder de EU AI Act gebruiken. Zie grondrechten-impactassessment, gebruiksverantwoordelijke.Open full entry →, kwaliteitsmanagementsysteem, Europese database-registratie en de volledige incident-rapportagestructuur.

2. nieuwe, keiharde verboden rondom generatieve AI

Terwijl de deadlines voor reguliere zakelijke toepassingen opschuiven, treedt Europa harder op tegen de schaduwkant van generatieve AIgeneratieve AIAI-systemen die nieuwe inhoud voortbrengen, tekst, beeld, audio, code, in plaats van alleen te classificeren of voorspellen. Grote taalmodellen zijn het bekendste voorbeeld. Zie hallucinatie, deepfake.Open full entry →. Het akkoord introduceert aanvullende verboden op:

• AI-systemen die zonder expliciete toestemming van de betrokkene seksueel expliciete synthetische beelden genereren (zogenaamde nudifier-toepassingen);
• AI-systemen die beelden of inhoud rondom seksueel kindermisbruik (CSAM) creëren of verspreiden.

Deze verboden gelden bij inwerkingtreding van de Omnibus-wijzigingen en zijn absoluut, er zijn geen uitzonderingen of overgangsperiodes voor commerciële partijen. Organisaties die generatieve AI inzetten voor het creëren van synthetische mediainhoud dienen hun toepassingen en beveiligingsmaatregelen direct te toetsen aan deze nieuwe grenzen.

3. GDPR-aanpassing voor bias-detectie in AI-modellen

Een opvallende en genuanceerde wijziging betreft de aanpassing van de AVG (GDPR). Om eerlijke AI te bouwen en discriminatie te voorkomen, is het in de praktijk vaak noodzakelijk om modellen te testen op gevoelige categorieën persoonsgegevens, zoals etnische afkomst, gezondheidsdata of religieuze overtuiging. Onder de huidige AVG is de verwerking van dergelijke bijzondere persoonsgegevens in principeprincipeEen van de zeven waarden van verantwoorde AI waaraan een bestuurd systeem zou moeten voldoen (eerlijkheid, veiligheid en betrouwbaarheid, privacy, beveiliging en robuustheid, transparantie en uitlegbaarheid, verantwoording, menselijk toezicht). Een principe is abstract: het benoemt een uitkomst, geen knop die je kunt omzetten. Het wordt bestuurbaar door de schade te benoemen die het zou schenden, het risico van die schade in te schatten, en controls tegen dat risico te plaatsen. Wanneer GovCompass een principe zo borgt, noemt het dat een pijler. Zie pijler, schade, risico.Open full entry → verboden, tenzij een van de limitatief opgesomde uitzonderingen van toepassing is.

De Omnibus introduceert een expliciete uitzondering: de verwerking van bijzondere persoonsgegevens is toegestaan wanneer dit strikt en aantoonbaar bedoeld is voor het detecteren en corrigeren van bias in AI-modellen. Dit is een welkome verduidelijking voor organisaties die hun modellen actief op discriminatoire uitkomsten willen testen.

De keerzijde is even duidelijk: deze uitzondering stelt hogere eisen aan de documentatie. U dient de juridische grondslag, het specifieke doel, de gehanteerde dataminimalisatiedataminimalisatieAlleen data verwerken die toereikend, ter zake dienend en noodzakelijk is, in ML uitgevoerd via pseudonimisering, kenmerkselectie, synthetische data en privacyverhogende technieken. Zie pseudonimisering, bijzondere categorieën persoonsgegevens.Open full entry →-methoden en de uitgevoerde mitigerende acties nauwkeurig vast te leggen. Een toezichthouder die bij u aanklopt, zal precies deze documentatie opvragen. Zonder sluitend bewijsbewijsHet concrete bewijs dat een control is ontworpen, geïmplementeerd en werkt: een testrapport, een audit trail, een impactassessment, een monitoringlog. Elke schakel in de governance-keten levert een artefact op, en samen zijn ze wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene om te tonen, niet te zeggen, dat een systeem bestuurd is. De afwezigheid ervan is zelf het falen: een risicoregister zonder testresultaten, of een maatregel die wordt geclaimd zonder validatie, is een governance-gat, geen papierwerk-gat. De sluitende schakel van de governance-keten. Zie control, governance.Open full entry → vervalt de uitzondering en kwalificeert de verwerking als een AVG-overtreding.

4. verlichtingen voor het mkb en micro-ondernemingen

De Omnibus vereenvoudigt de nalevingsverplichtingen voor micro-ondernemingen en het midden- en kleinbedrijf op een aantal punten: vereenvoudigde documentatieformaten, een lichtere variant van de conformiteitsbeoordelingsprocedure en meer proportionele sanctieniveaus. Dit is in lijn met het bredere Europese beleid om de administratieve last voor het mkb te reduceren.

Eén veelgehoord misverstand verdient correctie: de Art. 4-verplichting (AI Literacy) voor deployers is niet komen te vervallen. Individuele organisaties blijven verplicht te zorgen dat medewerkers die met AI-systemen werken over voldoende kennis en vaardigheden beschikken. Wat de Omnibus aanpast, is de verantwoordelijkheid voor brede maatschappelijke AI-geletterdheidAI-geletterdheidVoldoende begrip van de werking, mogelijkheden en risico's van AI voor de eigen rol, een expliciete verwachting voor medewerkers van aanbieders en gebruiksverantwoordelijken onder de EU AI Act. Zie aanbieder, gebruiksverantwoordelijke.Open full entry →, die wordt meer bij lidstaten en de Europese Commissie neergelegd. De deployer-plicht om de eigen medewerkers te trainen en die training te documenteren staat overeind.

Uitstel versus afstel: de strategische valkuil

Het uitstel van de zwaarste deadlines is verleidelijk. De valkuil is om het AI-dossier nu tijdelijk in de ijskast te zetten en pas in 2026 of 2027 opnieuw te beginnen. Dat is een strategische fout, om drie concrete redenen.

Ten eerste: governance opbouwen kost tijd. Het inventariseren van alle AI-systemen in uw organisatie, het classificeren per risicoklasse, het aanwijzen van toezichthouders, en het opbouwen van compliance-dossiers, dat is geen project van enkele weken. Organisaties die in 2024 zijn begonnen, zullen in 2027 een voorsprong hebben die niet in te halen valt door last-minute compliance.

Ten tweede: de toezichthouders zijn al operationeel. De ACM (Autoriteit Consument & Markt) is als nationale markttoezichthouder voor de EU AI Act aangewezen en actief. Handhaving van Art. 4 (AI Literacy) en Art. 5 (verboden praktijken) is al mogelijk. Transparantieverplichtingen volgen per augustus 2026. Wie nu niets doet, loopt bewust risico op een boete in een regime dat al van kracht is.

Ten derde: de bewijslast werkt cumulatief. De EU AI Act eist geen momentopname, maar een aantoonbare, gedateerde historie van beslissingen: wanneer heeft u geclassificeerd, wie heeft gereviewed, wat is er gelogd, hoe heeft u toezicht belegd? Een audit trail die pas in 2026 of 2027 begint, bevat per definitie hiaten. Toezichthouders en rechtbanken kijken naar het gehele dossier.

De extra tijd die de Omnibus biedt, is precies wat organisaties nodig hebben om de omslag te maken van reactief compliance afvinken naar proactieve Governance by Design. Wie die tijd benut, bouwt een structuur die bestand is tegen verdere regelwijzigingen, en die vertrouwen uitstraalt naar klanten, medewerkers en toezichthouders.

Vijf concrete stappen die u nu kunt zetten

1. AI-inventarisatie voltooien, Breng alle AI-systemen in kaart die uw organisatie inzet: per afdeling, per leverancier, per beoogd gebruik. Registreer ook shadow AIshadow AIAI-tools die door medewerkers of afdelingen buiten de officiële kanalen en governance worden aangeschaft, het voorspelbare product van processen die te zwaar of te traag zijn. Zie AI-inventaris, governance.Open full entry → (ChatGPT, Copilot, niche-SaaS). Dit is de onmisbare basis voor elke vervolgstap.
2. Risicoclassificatie uitvoeren, Bepaal per systeem de risicoklasse op basis van Art. 6 en Bijlage III. Twijfelt u? Classificeer conservatief: hoog-risico. De wet vereist dit bij twijfel en onjuiste classificatie is zelf een overtreding.
3. Art. 4 AI Literacy documenteren, De verplichting geldt nu. Registreer welke medewerkers training hebben gevolgd, wanneer, en via welk programma. Bewaar aanwezigheidslijsten en certificaten. Dit is het eerste wat een toezichthouder opvraagt.
4. Transparantieverplichtingen (Art. 50) implementeren, Controleer alle interfaces waar AI betrokken is bij communicatie met eindgebruikers. Voeg labels, disclaimers of meldingen toe. Deadline: 2 augustus 2026.
5. Governance-structuur benoemen, Wijs een AI Officer aan (al dan niet gecombineerd met de DPO-functie), benoem per hoog-risico systeem een toezichthouder, en leg de verantwoordelijkheden schriftelijk vast. Zonder eigenaarschap is governance papierwerk.

De omnibus als kans voor strategisch leiderschap

Organisaties die het Omnibus-akkoord aangrijpen als alibi om niets te doen, missen de bredere context: AI-governance is geen juridische verplichting die u afvinkt, maar een strategisch vermogen dat u opbouwt. De wet stelt de minimumeisen; de markt beloont degenen die verder gaan.

Klanten, medewerkers en zakenpartners stellen steeds vaker vragen over hoe uw organisatie omgaat met AI-risico's. Organisaties die een gestructureerde, aantoonbare aanpak hebben, een volledig AI-register, gedocumenteerde classificaties, actieve toezichtsprocessen, bouwen een reputatie van betrouwbaarheid die niet te kopen is.

De Omnibus geeft u meer tijd. Gebruik die tijd goed.