Een paar maanden geleden schreef ik over de stand van zaken rondom de Digitale Omnibus voor AI. Op dat moment hadden zowel de Raad van de Europese Unie als het Europees Parlement hun standpunten net gepubliceerd, en stond het triloog op het punt van beginnen. Ondertussen is er weer veel gebeurd: op 6 mei 2026 hebben de drie instellingen een akkoord bereikt over de definitieve tekst, en op 13 mei heeft het Comité van Permanente Vertegenwoordigers dit compromis officieel bevestigd. Daarmee is duidelijk geworden hoe de Digitale Omnibus voor AI er uiteindelijk uit gaat zien.
In dit blog zet ik, net zoals vorige keer, uiteen wat er met het compromis is bereikt, en welke onderdelen van welke standpunten uiteindelijk zijn overgenomen. Voor een gedetailleerde vergelijking tussen de oorspronkelijke standpunten van Commissie, Raad en Parlement verwijs ik graag naar mijn eerdere blog over dit onderwerp. Hier ligt de nadruk op de uitkomst van het triloog en wat dat concreet betekent.
Inwerkingtreding hoog-risico-AI: vaste data definitief
Het meest in het oog springende onderdeel van de Digitale Omnibus voor AI – het uitstel van de verplichtingen voor hoog-risico-AI-systemen – is in het compromis definitief gemaakt met vaste data. De voorwaardelijke mechaniek die de Commissie aanvankelijk had voorgesteld, waarin de inwerkingtreding gekoppeld zou worden aan een Commissiebesluit over de beschikbaarheid van standaarden en andere compliance-instrumenten, is volledig verdwenen.
Wat overblijft is wat in mijn eerdere blog al de meest waarschijnlijke uitkomst leek: bijlage III-toepassingen worden van toepassing per 2 december 2027, en bijlage I-toepassingen per 2 augustus 2028. Dit zijn harde data, zonder eventuele vervroeging of verdere koppeling aan voorwaarden. Voor organisaties betekent dit dat de onzekerheid die er afgelopen najaar nog was nu volledig is weggenomen: men weet precies tot wanneer men de tijd heeft om aan de verplichtingen van hoofdstuk 3 van de AI Act te voldoen.
Hierin hebben Raad en Parlement het dus duidelijk gewonnen van de Commissie. Beide medewetgevers waren vanaf het begin kritisch op de “soft” mechaniek die de Commissie voorstond, en die kritiek heeft uiteindelijk de tekst gehaald. Bijkomend voordeel is dat dit aansluit bij de oorspronkelijke systematiek van de AI Act zelf, die ook werkt met vaste data per fase.
AI-geletterdheid: het Parlement haalt zijn slag thuis
Een van de meest interessante uitkomsten van het triloog betreft AI-geletterdheid. In mijn eerdere blog voorspelde ik al dat dit een centraal onderhandelingspunt zou worden, en dat is ook gebleken. De drie posities lagen ver uit elkaar: de Commissie en Raad wilden AI-geletterdheid omvormen tot een inspanningsverplichting van Commissie en lidstaten, terwijl het Parlement de verplichting wilde laten rusten bij organisaties zelf. De vorm die de Commissie en Raad voor ogen hadden leek mij in ieder geval redelijk een wassen neus.
In het compromis is grotendeels de lijn van het Parlement gevolgd. De primaire verplichting blijft liggen bij aanbieders en gebruiksverantwoordelijken van AI-systemen: zij moeten maatregelen nemen om de ontwikkeling van AI-geletterdheid bij hun medewerkers en andere personen die met de AI-systemen werken te ondersteunen. Wel is er een belangrijke afzwakking ten opzichte van de huidige AI Act: het is expliciet geen verplichting meer om een specifiek niveau van AI-geletterdheid bij individuen te garanderen. Het gaat dus om het ondersteunen en bevorderen van AI-geletterdheid, niet om het bereiken van een bepaald sufficiënt niveau.
Daarnaast krijgen Commissie en lidstaten een ondersteunende rol toebedeeld via het AI Act Service Desk-platform, waarop praktische voorbeelden gepubliceerd zullen worden. Ook krijgt de AI Board de taak om aanbevelingen op te stellen, gebaseerd op Europese competentiekaders. Hiermee krijgen Commissie en Raad alsnog hun ondersteunende mechaniek, zij het in een minder dominante vorm dan zij oorspronkelijk wilden.
Voor organisaties betekent dit dat de zorgen die met het Commissievoorstel ontstonden – dat AI-geletterdheid geheel als verantwoordelijkheid bij de overheid zou komen te liggen – vooralsnog niet zijn uitgekomen. Maar de verplichting is wel iets minder zwaar geworden dan zoals deze nu in de AI Act staat. Het advies blijft dan ook om AI-geletterdheid serieus te nemen en hier interne programma’s voor in te richten, maar de exacte invulling wordt iets flexibeler dan onder het huidige regime.
Bijzondere persoonsgegevens voor AI-training: strikt noodzakelijk en afgegrendeld
Het gebruik van bijzondere persoonsgegevens voor het opsporen en corrigeren van bias is in het compromis fors aangescherpt ten opzichte van het oorspronkelijke Commissievoorstel. Waar de Commissie nog volstond met de criteria “noodzakelijk en evenredig”, is in het compromis de Raad- en Parlementslijn overgenomen waarin “strikt noodzakelijk” het uitgangspunt is.
Concreet ziet het er als volgt uit. Voor hoog-risico-AI-systemen is verwerking van bijzondere persoonsgegevens toegestaan voor bias-detectie en correctie, mits aan een cumulatieve lijst van voorwaarden wordt voldaan. Onder die voorwaarden vallen onder meer dat het doel niet bereikt kan worden met synthetische of geanonimiseerde data, dat pseudonimisering wordt toegepast waar mogelijk, dat er strikte toegangscontroles zijn, en dat de gegevens verwijderd worden zodra de bias is gecorrigeerd. Voor andere AI-systemen en voor deployers van hoog-risico-AI geldt een vergelijkbaar regime, met als aanvullende eis dat het moet gaan om het tegengaan van risico’s voor gezondheid, veiligheid, fundamentele rechten of discriminatie.
Een belangrijk detail – dat in mijn eerdere blog nog niet aan de orde kwam – is dat het compromis expliciet vastlegt dat deze bepaling géén verplichting creëert om bias-detectie en correctie uit te voeren. Het gaat dus om een mogelijkheid, niet om een nieuwe verplichting. Dit is een nuance die de oorspronkelijke controverse rond dit punt enigszins tempert: organisaties die hier geen gebruik van willen maken, hoeven dat ook niet, en organisaties die dat wel willen doen, krijgen daar een duidelijk juridisch kader voor.
De controverse over het breder mogelijk maken van het gebruik van bijzondere persoonsgegevens is hiermee dus voor een groot deel ondervangen door strenge waarborgen. Wat dat betreft is dit een klassieke triloog-uitkomst: het Commissievoorstel wordt grotendeels behouden, maar wordt voorzien van zoveel additionele waarborgen dat de scherpste kantjes eraf zijn.
Nieuwe verboden praktijken: NCII en CSAM definitief in artikel 5
Zoals verwacht zijn de nieuwe verboden praktijken die zowel Raad als Parlement hadden geïntroduceerd in het compromis opgenomen. Het gaat om het verbod op AI-systemen die zonder vrijelijke, specifieke en geïnformeerde toestemming realistische beelden, video’s of audio kunnen genereren of manipuleren van een identificeerbare persoon in een seksuele context, alsmede het verbod op AI-systemen die in staat zijn child sexual abuse material (CSAM) te genereren.
Wat opvalt aan het compromis is dat de gedetailleerde uitwerking van de Raad grotendeels is overgenomen. Het verbod geldt zowel wanneer het systeem expliciet voor dit doel is bedoeld, als wanneer redelijkerwijs voorzienbaar is dat het systeem dergelijke output kan produceren zonder adequate technische waarborgen. Concrete voorbeelden van zulke waarborgen worden in de tekst opgesomd: data cleaning, refusal training, prompt safe design, output controls, runtime guardrails, content classification, abuse detection en notice-and-action mechanismen.
Voor deployers geldt het verbod alleen wanneer zij het systeem daadwerkelijk voor dit doel gebruiken. Hiermee wordt voorkomen dat deployers die een algemeen AI-systeem gebruiken voor legitieme doeleinden geconfronteerd worden met aansprakelijkheid wanneer dat systeem theoretisch ook misbruikt zou kunnen worden.
Deze uitkomst was, gezien de maatschappelijke en politieke druk rondom dit onderwerp, in de lijn der verwachting. De gedetailleerde uitwerking zorgt er wel voor dat providers van generatieve AI hier serieus mee aan de slag moeten: het is niet langer genoeg om in algemene zin “veilig” te zijn, er moeten aantoonbare technische maatregelen worden getroffen.
Wat verder nog opvalt
Naast deze grote punten zijn er nog een aantal onderdelen van het compromis die het noemen waard zijn.
Ten eerste de uitbreiding van het SMC-regime. Zoals al in het Commissievoorstel stond, krijgen small mid-caps nu dezelfde regulatoire privileges als SMEs op meerdere vlakken: vereenvoudigde technische documentatie, proportionele toepassing van het kwaliteitsmanagementsysteem, specifieke guidance van nationale autoriteiten, lagere boetes en aandacht in codes of conduct. Dit is een belangrijke ontwikkeling voor het groeiende segment van bedrijven dat te groot is voor SME-status, maar nog niet de schaal heeft van een groot enterprise.
Ten tweede wordt de rol van de AI Office aanzienlijk versterkt. De AI Office krijgt exclusieve bevoegdheid voor het toezicht op AI-systemen die gebaseerd zijn op general-purpose AI models wanneer model en systeem van dezelfde provider afkomstig zijn, evenals voor AI-systemen die zijn ingebed in zeer grote online platforms en zoekmachines. Ook kan de AI Office een eigen regulatory sandbox op Unie-niveau opzetten, waarbij SMEs, startups en SMCs prioritaire toegang krijgen.
Ten derde wordt voor conformiteitsbeoordeling een soort one-stop-shop ingevoerd: notified bodies die zowel onder de AI Act als onder sectorale Uniewetgeving willen worden aangewezen, kunnen dat via één aanvraag en één procedure regelen. Dit is een welkome vereenvoudiging die hopelijk bijdraagt aan het sneller beschikbaar komen van voldoende conformiteitsbeoordelingsinstanties.
Ten vierde wordt de samenwerking tussen markttoezichthouders en grondrechtenautoriteiten verstevigd via een aanscherping van artikel 77. Grondrechtenautoriteiten krijgen toegang tot informatie van markttoezichthouders, met wederzijdse samenwerkingsverplichtingen.
Tot slot is er nog een transitieperiode geregeld voor providers van generatieve AI die hun systemen al vóór 2 augustus 2026 op de markt hebben gebracht: zij krijgen tot 2 december 2026 de tijd om aan de markeer- en detecteerbaarheidsverplichtingen van artikel 50(2) te voldoen.
Alles samen genomen
Met het compromis is de Digitale Omnibus voor AI op de meeste punten een logische uitkomst van het triloog geworden. De Commissie heeft op de centrale tijdslijn-vraag duidelijk moeten inschikken: de voorwaardelijke koppeling aan compliance-instrumenten is volledig verdwenen, ten gunste van de harde data die Raad en Parlement vanaf het begin wilden. Op het gevoelige punt van AI-geletterdheid heeft het Parlement zijn slag thuisgehaald, zij het met een afzwakkende clausule die voorkomt dat de strenge huidige AI Act-standaard terugkeert.
Op de meer technische en structurele punten – uitbreiding van het SMC-regime, versterking van de AI Office, one-stop-shop voor notified bodies – is grotendeels het Commissievoorstel gevolgd. Dat past bij de logica van een triloog: de politiek gevoelige punten worden in de richting van Raad en Parlement bijgesteld, terwijl de meer technische verbeteringen die de Commissie had voorgesteld overeind blijven.
| Voorstel Europese Commissie | Standpunt Raad van Ministers | Comitécompromis Parlement | Triloog Compromistekst Raad en Parlement | |
| Inwerkingtreding verplichtingen hoog-risico-AI-systemen | 6 maanden na vaststelling ‘passende maatregelen’, of uiterst december 2027 en augustus 2028 voor respectievelijke bijlage III en I | December 2027 en augustus 2028 voor respectievelijk bijlage III en I | December 2027 en augustus 2028 voor respectievelijk bijlage III en I | December 2027 en augustus 2028 voor respectievelijk bijlage III en I |
| AI-geletterdheid | Commissie en lidstaten sporen organisaties aan om maatregelen te nemen ter bevordering van AI-geletterdheid | Commissie en lidstaten sporen organisaties aan om maatregelen te nemen ter bevordering van AI-geletterdheid, binnen hun respectievelijke rollen en verantwoordelijkheden | Organisaties zijn verantwoordelijk om maatregelen te nemen ter bevordering van AI-geletterdheid binnen de organisatie | Verplichting voor organisaties om maatregelen ter ondersteuning te nemen, geen garantieplicht op individueel niveau |
| Gebruik bijzondere persoonsgegevens voor opsporen bias/discriminatie | Toegestaan voor alle type AI, mits dit noodzakelijk en evenredig is ter opsporing van bias en discriminatie | Toegestaan voor hoog-risico-AI-systemen, mits dit strict noodzakelijk is voor opsporing bias en discriminatie; en voor andere AI wanneer fundamentele rechten in gedrang komen | Toegestaan voor hoog-risico-AI-systemen, mits dit strict noodzakelijk is voor opsporing bias en discriminatie; en voor andere AI wanneer fundamentele rechten in gedrang komen | Toegestaan voor hoog-risico-AI mits strikt noodzakelijk; voor overige AI bij risico’s voor gezondheid, veiligheid, fundamentele rechten of discriminatie; uitgebreide cumulatieve waarborgen; expliciet geen verplichting |
| Verboden praktijken | Niet genoemd | Verbod op het gebruik van AI voor het genereren van expliciete content met herkenbare personen zonder toestemming; en verbod op kunnen genereren van CSAM-materiaal | Verbod op het gebruik van AI voor het genereren van expliciete content met herkenbare personen zonder toestemming; en verbod op kunnen genereren van CSAM-materiaal | Verbod op het gebruik van AI voor het genereren van expliciete content met herkenbare personen zonder toestemming; en verbod op kunnen genereren van CSAM-materiaal |
| Registratieplicht hoog-risico-AI-systemen beroep op bagatel | Bij gebruik bagatel-uitzondering hoeft men niet het AI-systeem bij de toezichthouder te registreren | AI Act ongewijzigd (registratieplicht blijft bestaan) | AI Act ongewijzigd (registratieplicht blijft bestaan) | AI Act ongewijzigd (registratieplicht blijft bestaan) |
*Alle informatie is geparafraseerd en geen letterlijke wettekst. Voor de volledige tekst van het compromis verwijs ik naar het document van de Raad van 13 mei 2026.
Conclusie
Met dit compromis tekent de eindbestemming van de Digitale Omnibus voor AI zich helder af. Voor organisaties is dit goed nieuws: de grootste bron van onzekerheid – de vraag wanneer de verplichtingen voor hoog-risico-AI-systemen nu precies in werking treden – is definitief beantwoord. December 2027 en augustus 2028 zijn de data om in de agenda te zetten, en daar zit geen mitsen of maren meer aan vast.
Tegelijkertijd betekent dit niet dat organisaties achterover kunnen leunen. De verplichting tot AI-geletterdheid blijft bestaan, zij het iets flexibeler dan onder de huidige AI Act. Het gebruik van bijzondere persoonsgegevens voor bias-detectie is mogelijk gemaakt, maar onder strikte voorwaarden die een serieuze juridische en technische analyse vergen voordat men hier gebruik van wil maken. En de nieuwe verboden praktijken rond NCII en CSAM stellen concrete eisen aan providers van generatieve AI om aantoonbare technische waarborgen te treffen.
Wat mij betreft is het compromis een redelijk evenwichtig resultaat. De Commissie heeft op het belangrijkste punt moeten inleveren, maar de overige onderdelen van haar vereenvoudigingsagenda zijn grotendeels intact gebleven. De politiek gevoelige punten zijn in de richting van Raad en Parlement bijgesteld, met de nodige waarborgen om de scherpe kantjes eraf te halen. Voor organisaties betekent dit dat het tijd is om de eerdere voorbereidingen op de AI Act weer op te pakken – nu met duidelijke deadlines, en met de wetenschap dat er aan de wezenlijke kern van de AI Act niets is veranderd.
De Digitale Omnibus voor AI moet nu nog formeel worden aangenomen door het Europees Parlement en de Raad, maar gezien het bereikte compromis lijkt dat een formaliteit. Het is dan ook tijd om de blik weer vooruit te richten en de implementatie van de AI Act met hernieuwde energie ter hand te nemen.
Geef een reactie