Er is de afgelopen tijd veel gebeurd rondom de 'Digitale Omnibus voor AI'. Met name de vraag of we tegen augustus van dit jaar aan alle verplichtingen voor hoogrisico-AI-systemen moeten voldoen, heeft ervoor gezorgd dat veel organisaties nu niet weten waar ze precies aan toe zijn. Worden de verplichtingen uitgesteld? Is de Omnibus-wet op tijd daarvoor af? Gaan er nog andere zaken gewijzigd worden?
Ondertussen zijn we weer een paar maanden verder en is de Europese wetgevingsmachine druk bezig om tot een compromis te komen over de exacte inhoud van de Digitale Omnibus voor AI. In de afgelopen week hebben zowel de Europese Raad van Ministers als het Europees Parlement belangrijke stukken vastgesteld die ons iets vertellen over wat we nou uiteindelijk kunnen verwachten. In dit blog zetten we deze uiteen.
Hoe zat het ook alweer? Het Commissievoorstel
In november 2025 publiceerde de Europese Commissie een reeks aan wetsvoorstellen waarmee zij beogen meerdere stukken regelgeving te versimpelen om zo de regeldruk in Europa te verminderen. Doel is onder meer om hiermee slagvaardiger en competitiever in de wereldeconomie te worden. Een van deze voorstellen is de Digitale Omnibus voor AI, waarin enkele wijzigingen worden aangebracht aan de AI Act. Ik heb hier zelf nog een blog over geschreven kort na publicatie van dit voorstel. In het kort komt het erop neer dat enkele verplichtingen worden versoepeld en dat bepaalde verplichtingen worden uitgesteld.
Voor de meeste organisaties is het met name relevant dat de Commissie de verplichtingen voor hoogrisico-AI wilt uitstellen. Op dit moment ontbreken er simpelweg nog veel instrumenten die organisaties nodig hebben om compliance met de AI Act te bewerkstelligen. Om hiervoor meer tijd te creëren, stelt de Commissie voor dat zij kunnen vaststellen wanneer de nodige instrumenten hiervoor beschikbaar zijn; en dan zullen de verplichtingen voor hoogrisico-AI-systemen op basis van bijlage III en I in werking treden, respectievelijk 6 en 12 maanden na die vaststelling. Indien zij nalaat een beslissing te nemen, zullen de regels uiterlijk in werking treden in december 2027 voor bijlage III en in augustus 2028 voor bijlage I. So far so good.
Daarnaast worden er ook enkele materiële wijzigingen aan de AI Act voorgesteld. Zo worden de verplichtingen van AI-geletterdheid, die voor iedere organisatie gelden die met AI aan de slag gaan, aanzienlijk verzwakt. Zo kent de Omnibus geen harde eisen meer aan AI-geletterdheid, maar wordt dit slechts een inspanningsverplichting die de Commissie en lidstaten moeten stimuleren. Dit betekent in feite dat niet iedereen voor ieder gebruik van AI de nodige cursussen moet gaan volgen. Reden hierachter is tevens het verminderen van de compliance druk, met name als het gaat om de impact die de AI Act heeft op het midden- en kleinbedrijf.
Als laatste worden er nog een aantal inhoudelijk wijzigingen voorgesteld, waaronder het mogelijk maken om bijzondere persoonsgegevens te gebruiken voor het trainen van alle soorten AI-systemen; en dus niet alleen maar voor hoogrisico-AI-systemen waarbij dat absoluut noodzakelijk is. Dit betreft een keuze die zekere controverse heeft veroorzaakt. Natuurlijk bevat het voorstel nog andere wijzigingen, maar dit betreft voor de meeste organisaties de belangrijkste.
Standpunt van de Raad van de Europese Unie
Voor een Europees wetsvoorstel om wet te worden, moet het meestal twee instanties passeren: De Raad van de Europese Unie (die de nationale overheden vertegenwoordigt) en het Europees Parlement. Ze stellen standpunten op en gaan daar vervolgens in een triloog (samen met de Commissie) over onderhandelen. Op 13 maart heeft de Raad haar positie gepubliceerd waarin zij kenbaar maakt hoe ze deze onderhandelingen binnen zal stappen. De exacte tekst daarvan kan hier worden gevonden.
Om te beginnen, de Raad was in eerste instantie niet heel enthousiast over het voorstel van de Commissie. Het huidige roulerende voorzitterschap van de Raad, Cyprus, heeft in januari een eerste voorstel gedaan voor een in te nemen positie, waarin het met name bezwaren uitte over de wijze waarop de Commissie de regels voor hoogrisico-AI-systemen in werking wil laten treden. Door dit te koppelen aan het vaststellen van wanneer de nodige compliance instrumenten beschikbaar zijn, creëert de Commissie daarmee te veel onzekerheid over wanneer de regels precies in werking zullen treden; en daarom stelde Cyprus voor om deze deadlines hard te maken door te kiezen voor vaste data. Daarbij stelde zij wel voor de Commissie grotendeels te volgen op het gebied van AI-geletterdheid, het gebruik van bijzondere persoonsgegevens te beperken tot strikt noodzakelijke situaties, en het introduceren van enkele guidance verplichtingen.
Maar nu zijn we ondertussen weer twee maanden verder en heeft de Raad dus een officieel standpunt vastgesteld. In dit officiële standpunt wordt grotendeels aangesloten bij het voorstel dat Cyprus in januari heeft ingebracht. Zo gaan de regels voor hoogrisico-AI-systemen in per 2 december 2027 voor bijlage III-toepassingen, en op 2 augustus 2028 voor bijlage I-toepassingen. Ook wordt er grotendeels aangesloten op de AI-geletterdheidsbepaling van het Commissievoorstel, waarbij er wel moet worden gestimuleerd om de nodige maatregelen te nemen "[...] within their respective roles and responsibilities [...]"; wat dat ook precies mag betekenen. De Raad volgt in ieder geval de Commissie in haar standpunt dat AI-geletterdheid een inspanningsverplichting van de Commissie en de lidstaten wordt en daarmee geen harde vereisten zijn die aan organisaties worden gesteld.
Ook sluit het standpunt van de Raad aan bij het Commissievoorstel om het gebruik van bijzondere persoonsgegevens mogelijk te maken om bias en discriminatie op te sporen in allerlei typen AI-systemen, niet alleen hoogrisico-AI-systemen. Daarbij brengt het standpunt van de Raad wel een nuance aan door een vereiste van subsidiariteit toe te voegen: het is alleen toegestaan deze data te gebruiken als dat strikt noodzakelijk is; en de nodige maatregelen zijn getroffen zodat dit veilig kan gebeuren.
Grotendeels wordt er dus aangesloten bij het voorstel van Cyprus en het bredere voorstel van de Europese Commissie. Daarbij heeft de Raad wel een nieuwe materiële wijziging toegevoegd die niet eerder voorbij is gekomen: namelijk het introduceren van een nieuwe verboden praktijk onder artikel 5. Specifiek willen ze verbieden dat AI ingezet kan worden om audiovisueel seksueel getint materiaal te genereren waarin mensen herkenbaar in beeld worden gebracht, zonder dat deze persoon daar toestemming voor heeft gegeven. Op dezelfde wijze introduceren ze een verbod op AI die in staat is om kinderpornomateriaal te genereren. Dit is natuurlijk een reactie op de controverse die afgelopen najaar ontstond door Elon Musk's Grok AI die het kinderlijk eenvoudig maakte om dergelijk materiaal te genereren; en de bredere maatschappelijke discussie die daaruit voort kwam. Wat dat betreft was het in lijn der verwachting dat dit op een moment in de verboden praktijken lijst van de AI Act terecht zou komen.
Comitéstandpunt van het Europees Parlement
Ook het Europees Parlement is aan de slag gegaan met het AI Omnibus-wetsvoorstel en deze is in behandeling genomen in de comités voor de Interne mark en Consumentenbescherming, alsmede het Comité voor Fundamentele Rechten, Justitie en Interne Aangelegenheden. In het Europees Parlement is het mogelijk voor alle leden om amendementen in te dienen, wat zoals gebruikelijk weer op massale schaal is gedaan (450 stuks tel ik nu op de tracker). Om met al deze wijzigingen tot een coherent geheel te komen, werkt een comité een finaal compromis uit, welke vervolgens naar de plenaire vergadering gaat zodat iedereen over dit compromis kan stemmen. Dit finale compromis bestaat uit een aantal verzamelamendementen die plenair tot stemming worden gebracht, dus het is zeker mogelijk dat slechts een deel van het compromis uiteindelijk het officiële standpunt van het Europees Parlement zal vormen. Deze tekst is met name indicatief over hoe deze onderdelen geformuleerd worden; aangezien verdere inhoudelijke wijzigingen in deze fase van het wetgevingsproces onwaarschijnlijk is. Als dit wordt aangenomen is daarmee het standpunt van het Europees Parlement vastgesteld en kunnen ze daarmee aansluiten bij het triloog. Op 18 maart 2026 is dit finale compromis in het comité tot stemming gebracht en aangenomen. De tekst van dit comitécompromis kan je hier vinden.
Om te beginnen met de inwerkingtreding van de regels rond hoogrisico-AI-systemen: deze wil het Parlement ook uitgesteld zien met vaste data. Er is net zoals bij de Raad gekozen om de absolute deadline uit het Commissievoorstel te honoreren en bijlage III-toepassingen per 2 december 2027 in te laten gaan en bijlage I-toepassingen per 2 augustus 2028. Hierin wordt een duidelijke lijn getrokken waar ook de Raad het mee eens lijkt te zijn.
Voor AI-geletterdheid neemt het comitécompromis echter een ander standpunt in dan de Commissie en Raad. In dit compromis is AI-geletterdheid geen inspanningsverplichting van Commissie en lidstaten, maar nog steeds een zekere verplichting van organisaties. Wel is de taal wat afgezwakt en dienen organisaties niet langer - zoals onder de huidige AI Act - een zeker sufficiënt niveau van AI-geletterdheid te bereiken, maar dienen zij maatregelen te nemen om AI-geletterdheid te ondersteunen en verbeteren. Hierin kiest het Parlement dus wel degelijk een andere invalshoek dan de Commissie en Raad; en dit zal naar verwachting dan ook nog een belangrijk onderhandelingspunt zijn tijdens de komende triloog.
Voor de verwerking van bijzondere persoonsgegevens ter verbetering van allerlei typen AI-systemen sluit het comitécompromis ook aan op de tekst die de Raad heeft gepubliceerd. Hierin zitten dan ook geen wezenlijke verschillen en de verwachting is dat in het triloog deze bepaling vrijwel direct zal worden overgenomen. Deze instemming van het Parlement met de veralgemenisering van het gebruik van bijzondere persoonsgegevens is interessant omdat dit controverse heeft veroorzaakt. Mijn persoonlijke verwachting was dat het Parlement zich meer hiertegen zou verzetten, gezien de gebruikelijke focus op het beschermen van de fundamentele rechten van EU-burgers. Hiermee lijkt de weg geopend om toch deze gegevens te kunnen gebruiken voor het opsporen van bias en discriminatie in andere AI-systemen, maar ook dat men minder grip heeft op het reguleren van het gebruik van deze data.
Ook sluit het Parlement aan bij de nieuwe verboden praktijk die ook de Raad heeft geïntroduceerd. De tekst hiervan is precies gelijk aan die van het standpunt van de Raad; hoewel de precieze reikwijdte en uitzonderingen van deze verboden minder uitgebreid zijn uitgewerkt. Dit ligt in lijn met de verwachtingen, vanwege de ontwikkelingen die we dus in het najaar hebben gezien met Grok AI.
Verder zijn er enkele aspecten nog aangepast die ik hier niet uitgebreid ga behandelen. Zo is de systematiek van veiligheidscomponenten aangepast, waardoor een aantal toepassingen die weinig risico creëren, maar wel een veiligheidscomponent vormen, zijn uitgesloten van de classificatie tot hoogrisico-AI. Tevens wordt er flink gesleuteld aan de structuur om hoogrisico-AI-systemen te onderwerpen aan de verplichtingen van hoofdstuk 3 van de AI Act, maar dat reikt te ver om hier geheel toe te lichten.
Alles samen genomen
Drie verschillende posities zien we dus; hoewel die van het Parlement nog gefinaliseerd moet worden waarbij er onderdelen eventueel nog kunnen afvallen. Wat kunnen we nu verwachten in de komende maanden? Wanneer het Parlement ook haar standpunt afrond, kan er gestart worden met het triloog waarin de Commissie, Raad en Parlement een compromis uitwerken die zij vervolgens weer in Raad en Parlement in stemming brengen. Wat kunnen we, gezien de huidige beschikbare informatie, realistisch verwachten van de eindtekst van de Digitale Omnibus voor AI? Ik zet het even op een rijtje:
*Alle informatie is geparafraseerd en geen letterlijke wettekst.
Naast de bovengenoemde onderdelen worden er in ieder voorstel en standpunt nog andere zaken gewijzigd. Het reikt te ver om al die wijzigingen hier te behandelen. Met name is dit overzicht bedoeld om in beeld te krijgen op welke grote punten er al effectief consensus bestaat en die we redelijkerwijs kunnen verwachten te komende tijd.
Conclusie
De contouren van de Digitale Omnibus voor AI beginnen zich inmiddels duidelijk af te tekenen. Waar aanvankelijk nog aanzienlijke onzekerheid bestond over met name de timing en inhoud van de verplichtingen voor hoogrisico-AI-systemen, lijkt er nu brede consensus te ontstaan tussen Commissie, Raad en Parlement over het uitstel met vaste data in 2027 en 2028. Daarmee wordt in ieder geval een belangrijk deel van de onzekerheid voor organisaties weggenomen.
Tegelijkertijd blijven er op inhoudelijk niveau nog relevante discussiepunten bestaan, met name rond de invulling van AI-geletterdheid en – in mindere mate – het gebruik van bijzondere persoonsgegevens. Het Parlement kiest hier voor een duidelijk zwaardere verantwoordelijkheid voor organisaties dan de Commissie en Raad, wat erop wijst dat dit een centraal onderhandelingspunt zal worden in het komende triloog.
Voor organisaties betekent dit dat het speelveld weliswaar iets voorspelbaarder wordt, maar zeker nog niet definitief vaststaat. Het is verstandig om rekening te houden met uitgestelde deadlines, zonder de voorbereiding op compliance stil te leggen. Integendeel: juist nu de grote lijnen zichtbaar worden, is dit het moment om strategisch vooruit te kijken en interne processen, governance en kennisniveau rondom AI verder te versterken.
Heb je vragen na het lezen van dit blog? Neem dan gerust contact met ons op.
