Digital Omnibus en het AI Act-uitstel: wat verandert er voor uw bedrijf?

Op 7 mei 2026 bereikten de Raad van de Europese Unie en het Europees Parlement na maanden van onderhandeling een voorlopig akkoord over het Digital Omnibus-pakket. Daarmee schuiven de zwaarste verplichtingen van de EU AI Act met ongeveer zestien maanden op. Voor Nederlandse bedrijven die de afgelopen periode met spoed bezig waren met hoog-risico naleving, is dat goed nieuws. Maar het uitstel is selectief, en de boodschap vanuit de Autoriteit Persoonsgegevens en de Europese Commissie is duidelijk: van pas op de plaats kan geen sprake zijn.

Wat is het Digital Omnibus-pakket?

Het Digital Omnibus-voorstel werd door de Europese Commissie gepresenteerd onder dossiernummer COM(2025) 836. Het doel: een breed pakket aan technische aanpassingen op bestaande digitale wetgeving om administratieve lasten te verlagen en de praktische uitvoerbaarheid voor het bedrijfsleven te verbeteren. Het pakket raakt naast de AI Act ook onderdelen van de Data Act, de Digital Services Act en de Digital Markets Act.

De aanleiding lag in een breed gedragen analyse dat Europa zichzelf op achterstand dreigde te zetten ten opzichte van de Verenigde Staten en China. Het rapport-Draghi over de toekomst van de Europese concurrentiekracht, uitgebracht in 2024, had die boodschap scherp geformuleerd: Europa moest dringend snijden in stapelregelgeving rondom technologie en data. De Commissie nam de aanbeveling over en bundelde aanpassingen in dit Omnibus-traject.

De triloog over het AI Act-onderdeel verliep tussen januari en april 2026. Knelpunten lagen bij de mate van uitstel, de behandeling van transparantieverplichtingen en de positie van General Purpose AI-modellen. Op 7 mei werd het politieke akkoord aangekondigd. Formele aanname wordt in juli of september 2026 verwacht, gevolgd door publicatie in het Publicatieblad van de EU.

Wat verschuift?

De kern van het uitstel ligt bij de hoog-risico AI-systemen. Het Omnibus-akkoord onderscheidt twee categorieen en behandelt ze verschillend:

• Annex III, stand-alone hoog-risico AI: de zelfstandige hoog-risico systemen, zoals CV-screening, kredietscoring, onderwijsbeoordeling en bepaalde biometrische toepassingen. De deadline verschuift van 2 augustus 2026 naar 2 december 2027. Aanbieders en deployers krijgen zo zestien extra maanden voor het opstellen van technische dossiers, risicobeheer, menselijk toezicht en EU-databankregistratie.
• Annex I, embedded hoog-risico AI in productrichtlijnen: AI-componenten in medische hulpmiddelen, machines, speelgoed en bepaalde voertuigen. Hier schuift de deadline naar 2 augustus 2028, gelijklopend met de herzieningen van de onderliggende productrichtlijnen.
• Transparantieverplichtingen artikel 50: hier ligt nog onduidelijkheid. Een deel van de transparantieregels (zoals chatbot-disclosure en deepfake-labeling) kan mogelijk verschuiven naar december 2026 in plaats van augustus 2026. Dit punt wordt naar verwachting in de uitvoeringsbesluiten verder ingevuld.

Belangrijk: het uitstel raakt alleen de inwerkingtreding van verplichtingen voor nieuw op de markt gebrachte systemen. De overgangsregelingen voor systemen die voor de inwerkingtreding al in gebruik waren, zijn niet verlengd in dezelfde mate. Voor systemen die u nu al in gebruik heeft, blijft het verstandig om uit te gaan van een naleving-deadline in 2028 in plaats van later.

Wat blijft onveranderd per 2 augustus 2026?

Hier zit de kern van de boodschap. Het uitstel ziet er ruimhartig uit, maar de fundamenten van de AI Act blijven gelden volgens de oorspronkelijke planning:

• Artikel 4, AI-geletterdheid: al van kracht sinds 2 februari 2025. Geen wijziging. Medewerkers moeten geinformeerd zijn over de AI-tools die zij gebruiken, de risico's en het beleid van de organisatie.
• Artikel 5, verboden AI: ook van kracht sinds 2 februari 2025. Social scoring, bepaalde vormen van biometrische identificatie op afstand, manipulatieve technieken en exploitatie van kwetsbare groepen blijven verboden zonder overgangstermijn.
• GPAI-verplichtingen voor aanbieders: de transparantie- en documentatieverplichtingen voor aanbieders van General Purpose AI-modellen blijven ingaan op 2 augustus 2026. OpenAI, Google, Anthropic, Mistral en andere foundation-model leveranciers moeten hun documentatie, copyright-naleving en systeemkaarten dan op orde hebben.
• Handhavingsstart en sancties: de boetestructuur en de bevoegdheid van toezichthouders treedt in werking per 2 augustus 2026, ook voor verplichtingen die nu nog niet inhoudelijk gelden. Dit betekent dat zodra de nieuwe deadlines aanbreken, het sanctiekader er staat.
• Governance-structuur: aanwijzing van nationale toezichthouders, het Europees AI-Board en de EU AI Office gaan onveranderd door.

Waarom is dit uitstel onderhandeld?

De aanleiding voor het uitstel laat zich in vier ontwikkelingen vangen. Ten eerste het al genoemde Draghi-rapport, dat aantoonde dat de cumulatieve regeldruk op de Europese tech-sector tot competitieve achterstand leidt. Ten tweede signaleerde de Commissie zelf dat veel uitvoeringsbesluiten, geharmoniseerde normen en richtsnoeren simpelweg nog niet beschikbaar waren om bedrijven naleving mogelijk te maken per augustus 2026. De technische realiteit liep achter op de juridische deadline.

Ten derde was er aanhoudende druk vanuit het MKB en sectorverenigingen. Met name de fintech- en zorgsector wezen op de onmogelijkheid om binnen een jaar conformiteitsbeoordelingen, EU-databankregistraties en risicodossiers compleet te krijgen, terwijl er voor sommige toepassingen nog geen erkende notified bodies waren. Ten vierde speelde mee dat investeringen in Europese AI-startups onder druk stonden door onduidelijkheid over de naleving-kosten.

Tegenstanders van het uitstel, waaronder consumentenorganisaties en burgerrechten-groepen, waarschuwden dat verschuiving betekent dat hoog-risico AI langer ongereguleerd in de markt blijft. Het uiteindelijke akkoord is een politiek compromis: alleen de zwaarste technische verplichtingen schuiven, de bescherming via artikel 4, 5 en 50 blijft gelden.

Wat als het akkoord nog niet formeel is?

Tot het akkoord formeel is aangenomen, gepubliceerd en in werking is getreden, geldt juridisch de oorspronkelijke tijdlijn. Dat is geen theoretische exercitie. Als uw onderneming uitsluitend plant op de nieuwe deadlines en de aanname loopt vertraging op, kunt u op 2 augustus 2026 alsnog in overtreding zijn voor hoog-risico verplichtingen.

Verstandig is daarom om uw planning niet te halveren in inspanning, maar wel te herprioriteren. Het werk dat u doet aan AI-register, risicobeoordelingen en documentatie is niet weggegooid. De data verschuiven, de inhoud niet. Bedrijven die nu doorzetten met inventarisatie en governance hebben straks ruimte om de implementatie zorgvuldig en kosten-efficient uit te voeren, in plaats van onder tijdsdruk.

Reacties uit Nederland

De Autoriteit Persoonsgegevens reageerde gematigd positief. In een persbericht van 8 mei 2026 verwelkomt de AP de extra tijd voor het bedrijfsleven, maar benadrukt dat haar handhavingsinzet onverminderd doorgaat op de wel-geldende verplichtingen. Het Department for the Coordination of Algorithmic Oversight (DCA), het samenwerkingsverband van Nederlandse toezichthouders, gebruikt de extra tijd om de sectorale coordinatie verder uit te werken.

AIComplianceHub, ICT-recht en andere praktijkstemmen wezen vooral op het risico van verkeerde communicatie naar de board. "Het uitstel is gedetailleerd, niet generiek", aldus een veel gehoorde lijn. Vanuit het bedrijfsleven kwamen wisselende reacties: VNO-NCW en MKB-Nederland verwelkomden het uitstel, terwijl de Consumentenbond en burgerrechten-organisaties zoals Bits of Freedom hun zorgen uitspraken over de bescherming van betrokkenen.

Risico's van uitstel-mentaliteit

Het grootste risico is bestuurlijk. Een directie die hoort "AI Act-deadline is van de baan" zal geneigd zijn budget en aandacht te verschuiven. In de praktijk is dat slecht risicobeheer. Drie concrete risico's:

• Toezicht houdt strenger op niet-uitgestelde delen: de AP heeft expliciet aangegeven artikel 4, 5 en 50 te gaan handhaven. Een waarschuwing kost al tijd en reputatie.
• Eerste-incidenten blijven gehandhaafd: als een medewerker of klant nu een klacht indient over een AI-systeem, kan de AP onderzoek starten. De Omnibus geeft geen vrijwaring voor concrete klachten of incidenten.
• GPAI tweede helft 2026 al actief: de leveranciersketen, met name OpenAI, Google en Microsoft, gaat per augustus 2026 nieuwe documentatie en contractuele wijzigingen doorvoeren. Uw inkoop- en juridische processen moeten daarop klaar zijn.

Wat doet u als organisatie nu?

De praktische lijn is helder. Behandel hoog-risico AI-implementatie als project met deadline december 2027, maar zonder pauzeknop in 2026. Behandel artikel 4, artikel 5 en artikel 50 als acute verplichtingen waar u in 2026 zichtbaar werk aan moet verrichten.