GovCompass
Kennisbank
Analysis

Het AI Omnibus Akkoord: uitstel of afstel? Wat u moet weten en hoe u zich voorbereidt

In mei 2026 bereikten de Europese Raad en het Europees Parlement een voorlopig politiek akkoord over de zogeheten Digitale Omnibus voor AI. Deze reeks gerichte wijzigingen op de EU AI Act — en op aanpalende wetgeving zoals de AVG — geeft de markt meer ademruimte, maar introduceert tegelijkertijd nieuwe, scherpe spelregels. Voor veel organisaties voelt het akkoord als een verademing, want de strenge deadlines voor hoog-risico AI-systemen schuiven significant op. Maar vergis u niet: de lat voor verantwoorde AI blijft onverminderd hoog, en de toezichthouders zijn operationeel.

Wat betekent dit akkoord precies voor uw organisatie? In dit artikel analyseren we de vier belangrijkste wijzigingen en leggen we uit waarom dit het moment is om AI-governance structureel in te richten — in plaats van de extra tijd als excuus te gebruiken om niets te doen.

De vier belangrijkste wijzigingen uit het AI Omnibus Akkoord

1. Verlengde deadlines voor hoog-risico AI

Oorspronkelijk zouden de zwaarste deployer-verplichtingen voor hoog-risico AI-systemen al per 2 augustus 2026 ingaan. De Omnibus verschuift deze deadlines aanzienlijk:

  • 2 december 2027: De nieuwe deadline voor op zichzelf staande hoog-risico AI-systemen (Bijlage III) — systemen voor werving & selectie, biometrische identificatie, kredietbeoordeling, onderwijs en rechtshandhaving. Dit zijn de zogenaamde stand-alone toepassingen die direct binnen de werkprocessen van deployers vallen.
  • 2 augustus 2028: De deadline voor AI-systemen die als veiligheidscomponent zijn geïntegreerd in gereguleerde producten (Bijlage I), zoals medische hulpmiddelen, luchtvaarttechnologie en industriële machines. Oorspronkelijk gold hier 2 augustus 2027.

Wat niet is uitgesteld: de transparantieverplichtingen uit Art. 50 (onder meer de plicht om eindgebruikers te informeren dat zij met een AI-systeem communiceren) blijven van kracht per 2 augustus 2026. Hetzelfde geldt voor Art. 4 (AI Literacy) en Art. 5 (verboden praktijken), die al since 2 februari 2025 gelden. Het uitstel heeft uitsluitend betrekking op de zware compliance-verplichtingen voor hoog-risico systemen: FRIA, kwaliteitsmanagementsysteem, Europese database-registratie en de volledige incident-rapportagestructuur.

2. Nieuwe, keiharde verboden rondom generatieve AI

Terwijl de deadlines voor reguliere zakelijke toepassingen opschuiven, treedt Europa harder op tegen de schaduwkant van generatieve AI. Het akkoord introduceert aanvullende verboden op:

  • AI-systemen die zonder expliciete toestemming van de betrokkene seksueel expliciete synthetische beelden genereren (zogenaamde nudifier-toepassingen);
  • AI-systemen die beelden of inhoud rondom seksueel kindermisbruik (CSAM) creëren of verspreiden.

Deze verboden gelden bij inwerkingtreding van de Omnibus-wijzigingen en zijn absoluut — er zijn geen uitzonderingen of overgangsperiodes voor commerciële partijen. Organisaties die generatieve AI inzetten voor het creëren van synthetische mediainhoud dienen hun toepassingen en beveiligingsmaatregelen direct te toetsen aan deze nieuwe grenzen.

3. GDPR-aanpassing voor bias-detectie in AI-modellen

Een opvallende en genuanceerde wijziging betreft de aanpassing van de AVG (GDPR). Om eerlijke AI te bouwen en discriminatie te voorkomen, is het in de praktijk vaak noodzakelijk om modellen te testen op gevoelige categorieën persoonsgegevens — zoals etnische afkomst, gezondheidsdata of religieuze overtuiging. Onder de huidige AVG is de verwerking van dergelijke bijzondere persoonsgegevens in principe verboden, tenzij een van de limitatief opgesomde uitzonderingen van toepassing is.

De Omnibus introduceert een expliciete uitzondering: de verwerking van bijzondere persoonsgegevens is toegestaan wanneer dit strikt en aantoonbaar bedoeld is voor het detecteren en corrigeren van bias in AI-modellen. Dit is een welkome verduidelijking voor organisaties die hun modellen actief op discriminatoire uitkomsten willen testen.

De keerzijde is even duidelijk: deze uitzondering stelt hogere eisen aan de documentatie. U dient de juridische grondslag, het specifieke doel, de gehanteerde dataminimalisatie-methoden en de uitgevoerde mitigerende acties nauwkeurig vast te leggen. Een toezichthouder die bij u aanklopt, zal precies deze documentatie opvragen. Zonder sluitend bewijs vervalt de uitzondering en kwalificeert de verwerking als een AVG-overtreding.

4. Verlichtingen voor het mkb en micro-ondernemingen

De Omnibus vereenvoudigt de nalevingsverplichtingen voor micro-ondernemingen en het midden- en kleinbedrijf op een aantal punten: vereenvoudigde documentatieformaten, een lichtere variant van de conformiteitsbeoordelingsprocedure en meer proportionele sanctieniveaus. Dit is in lijn met het bredere Europese beleid om de administratieve last voor het mkb te reduceren.

Eén veelgehoord misverstand verdient correctie: de Art. 4-verplichting (AI Literacy) voor deployers is niet komen te vervallen. Individuele organisaties blijven verplicht te zorgen dat medewerkers die met AI-systemen werken over voldoende kennis en vaardigheden beschikken. Wat de Omnibus aanpast, is de verantwoordelijkheid voor brede maatschappelijke AI-geletterdheid — die wordt meer bij lidstaten en de Europese Commissie neergelegd. De deployer-plicht om de eigen medewerkers te trainen en die training te documenteren staat overeind.

Uitstel versus afstel: de strategische valkuil

Het uitstel van de zwaarste deadlines is verleidelijk. De valkuil is om het AI-dossier nu tijdelijk in de ijskast te zetten en pas in 2026 of 2027 opnieuw te beginnen. Dat is een strategische fout, om drie concrete redenen.

Ten eerste: governance opbouwen kost tijd. Het inventariseren van alle AI-systemen in uw organisatie, het classificeren per risicoklasse, het aanwijzen van toezichthouders, en het opbouwen van compliance-dossiers — dat is geen project van enkele weken. Organisaties die in 2024 zijn begonnen, zullen in 2027 een voorsprong hebben die niet in te halen valt door last-minute compliance.

Ten tweede: de toezichthouders zijn al operationeel. De ACM (Autoriteit Consument & Markt) is als nationale markttoezichthouder voor de EU AI Act aangewezen en actief. Handhaving van Art. 4 (AI Literacy) en Art. 5 (verboden praktijken) is al mogelijk. Transparantieverplichtingen volgen per augustus 2026. Wie nu niets doet, loopt bewust risico op een boete in een regime dat al van kracht is.

Ten derde: de bewijslast werkt cumulatief. De EU AI Act eist geen momentopname, maar een aantoonbare, gedateerde historie van beslissingen: wanneer heeft u geclassificeerd, wie heeft gereviewed, wat is er gelogd, hoe heeft u toezicht belegd? Een audit trail die pas in 2026 of 2027 begint, bevat per definitie hiaten. Toezichthouders en rechtbanken kijken naar het gehele dossier.

De extra tijd die de Omnibus biedt, is precies wat organisaties nodig hebben om de omslag te maken van reactief compliance afvinken naar proactieve Governance by Design. Wie die tijd benut, bouwt een structuur die bestand is tegen verdere regelwijzigingen — en die vertrouwen uitstraalt naar klanten, medewerkers en toezichthouders.

Vijf concrete stappen die u nu kunt zetten

  1. AI-inventarisatie voltooien — Breng alle AI-systemen in kaart die uw organisatie inzet: per afdeling, per leverancier, per beoogd gebruik. Registreer ook shadow AI (ChatGPT, Copilot, niche-SaaS). Dit is de onmisbare basis voor elke vervolgstap.
  2. Risicoclassificatie uitvoeren — Bepaal per systeem de risicoklasse op basis van Art. 6 en Bijlage III. Twijfelt u? Classificeer conservatief: hoog-risico. De wet vereist dit bij twijfel en onjuiste classificatie is zelf een overtreding.
  3. Art. 4 AI Literacy documenteren — De verplichting geldt nu. Registreer welke medewerkers training hebben gevolgd, wanneer, en via welk programma. Bewaar aanwezigheidslijsten en certificaten. Dit is het eerste wat een toezichthouder opvraagt.
  4. Transparantieverplichtingen (Art. 50) implementeren — Controleer alle interfaces waar AI betrokken is bij communicatie met eindgebruikers. Voeg labels, disclaimers of meldingen toe. Deadline: 2 augustus 2026.
  5. Governance-structuur benoemen — Wijs een AI Officer aan (al dan niet gecombineerd met de DPO-functie), benoem per hoog-risico systeem een toezichthouder, en leg de verantwoordelijkheden schriftelijk vast. Zonder eigenaarschap is governance papierwerk.

De Omnibus als kans voor strategisch leiderschap

Organisaties die het Omnibus-akkoord aangrijpen als alibi om niets te doen, missen de bredere context: AI-governance is geen juridische verplichting die u afvinkt, maar een strategisch vermogen dat u opbouwt. De wet stelt de minimumeisen; de markt beloont degenen die verder gaan.

Klanten, medewerkers en zakenpartners stellen steeds vaker vragen over hoe uw organisatie omgaat met AI-risico's. Organisaties die een gestructureerde, aantoonbare aanpak hebben — een volledig AI-register, gedocumenteerde classificaties, actieve toezichtsprocessen — bouwen een reputatie van betrouwbaarheid die niet te kopen is.

De Omnibus geeft u meer tijd. Gebruik die tijd goed.