Op 7 mei 2026 bereikten het Europees Parlement en de Raad van de EU een voorlopig akkoord over wijzigingen in de EU AI Act. Het akkoord maakt deel uit van het zogeheten Omnibus VII-pakket, de Europese vereenvoudigingsagenda voor digitale wetgeving. Na een marathononderhandeling van negen uur is er een tekst op tafel die bedrijven meer tijd geeft om aan bepaalde verplichtingen te voldoen, maar die de kern van de wet ongewijzigd laat.
Wat er verandert: inhoud en tijdlijn
Uitstel voor hoog-risico AI-systemen
De meest ingrijpende wijziging betreft de deadlines voor hoog-risico AI-systemen. Die deadlines schuiven aanzienlijk op. Standalone hoog-risico AI-systemen, zoals systemen voor biometrie, onderwijs of personeelsselectie, vallen nu onder de regels vanaf 2 december 2027. Voor hoog-risico AI-systemen die zijn ingebed in gereguleerde producten, zoals medische apparatuur of machines, geldt een deadline van 2 augustus 2028. De reden voor het uitstel is praktisch: de technische standaarden en richtlijnen die bedrijven nodig hebben om aan de wet te voldoen, zijn nog niet beschikbaar.
Vereenvoudiging voor middelgrote bedrijven
Een tweede wijziging raakt bedrijven in de categorie tot 500 medewerkers, door de EU aangemerkt als ‘SMC’s’. Zij krijgen toegang tot een deel van de voordelen die eerder alleen voor kleine en middelgrote ondernemingen golden. Concreet gaat het om vereenvoudigde technische documentatievereisten bij het aantonen van compliance met hoog-risico AI-verplichtingen, proportionelere eisen voor kwaliteitsmanagementsystemen, en een cap op boetes bij niet-naleving.
Verbod op AI-gegenereerde seksuele content
Als nieuw verbod wordt toegevoegd: AI-systemen die realistisch seksueel expliciete beelden of video’s van identificeerbare personen genereren zonder hun toestemming zijn voortaan verboden. Dit verbod gaat in op 2 december 2026.
Transparantie voor AI-gegenereerde content
De overgangsperiode voor transparantieverplichtingen rond AI-gegenereerde content wordt verkort van zes naar drie maanden. De nieuwe deadline is 2 december 2026.
Wat dit praktisch betekent voor Nederlandse bedrijven
Bedrijven die actief zijn met hoog-risico AI-systemen krijgen meer tijd om hun compliance-programma op te bouwen. Dat is goed nieuws, mits u die tijd ook gebruikt. Wie nu nog niets heeft gedaan, loopt het risico om in 2027 opnieuw in tijdnood te komen. De architectuur van de wet staat immers intact. Uitstel is geen afstel.
Voor bedrijven tot 500 medewerkers geldt niet dat zij zijn vrijgesteld van de wet. De verplichtingen gelden gewoon, maar mogen op een lichtere manier worden aangetoond. Een gestructureerde aanpak blijft noodzakelijk.
Wat er niet verandert: en dat is minstens zo belangrijk
Artikel 4 (AI-geletterdheid) is ongewijzigd van kracht
De verplichting uit Artikel 4, de AI-geletterdheidsplicht, is per 2 augustus 2025 al ingegaan en valt volledig buiten het bereik van dit Omnibus-pakket. Organisaties zijn verplicht om een beleid te voeren, een inventarisatie te maken van AI-systemen inclusief risicobeoordeling, en op basis daarvan een rolgebaseerd leerplan op te stellen voor medewerkers. Wie dit nog niet heeft gedaan, is al in overtreding.
De registratieplicht blijft gehandhaafd
Ook na het akkoord geldt: providers van AI-systemen zijn verplicht die systemen te registreren in de EU-database, zelfs als zij van mening zijn dat hun systeem niet hoog-risico is. Het voorstel om deze registratieplicht te schrappen is door zowel het Parlement als de Raad afgewezen. Bedrijven moeten dus weten welke AI-systemen zij gebruiken en hoe zij die classificeren. Zonder een actuele AI-systeem inventaris is dat onmogelijk.
De kern van de wet blijft intact
De EU AI Act regelt risicomanagement, menselijk toezicht, datakwaliteit, transparantie, monitoring en incidentrapportage. Geen van deze verplichtingen is geschrapt. Wat verandert is de tijdlijn en, voor bedrijven tot 500 medewerkers, de manier waarop compliance wordt aangetoond. De inhoudelijke eisen zijn en blijven van kracht.
Wat dit praktisch betekent voor Nederlandse bedrijven
Nederlandse bedrijven opereren voor een groot deel in de categorie die nu als SMC wordt aangemerkt. Dat klinkt als verlichting, maar het is belangrijk dit scherp te interpreteren. De wet geldt voor alle bedrijven die AI-systemen inzetten of aanbieden in de EU. Wat deze bedrijven krijgen is proportionaliteit in de aanpak, niet een vrijstelling van de verplichtingen zelf. Wie op basis van dit nieuws besluit te wachten mist het punt.
Bovendien is de Artikel 4-verplichting voor elke organisatie in Nederland ongewijzigd van kracht. Dat betekent dat een beleid en een rolgebaseerde training nu moet kunnen worden aangetoond.
Wat nu?
Het akkoord van 7 mei geeft bedrijven iets meer tijd voor de zwaarste compliance-verplichtingen rond hoog-risico AI. Het verandert niets aan de urgentie op twee andere vlakken.
Ten eerste: de AI-geletterdheid plicht is actief. Als er nog geen beleid is vastgesteld, geen AI-systemen zijn geïnventariseerd en geen rolgebaseerde trainingen zijn ingericht, is een bedrijf nu al niet compliant. Dat risico wordt niet weggenomen door te wachten op verdere ontwikkelingen.
Ten tweede: de registratieplicht geldt voor alle AI-systemen die gebruikt en/of aangeboden worden, ook als ze niet als hoog-risico worden beschouwd. Zonder een volledige en actuele inventarisatie kan die plicht niet worden nagekomen.
Het advies is helder. De extra tijd voor hoog-risico compliance moet worden gebruikt om het nu goed te doen. Begin met de verplichtingen die al gelden: AI-geletterdheidbeleid, systeem inventarisatie met risicobeoordeling, en een leerplan voor medewerkers op basis van hun rol. Dat is niet alleen de wettelijke verplichting, het is ook de fundering waarop de rest van het complianceprogramma op gebouwd wordt.
Bedrijven die nu investeren in een gestructureerde aanpak, hoeven in 2027 niet te haasten. Bedrijven die wachten, stapelen achterstand op.
