De EU AI Act in beweging: wat er verandert en wat blijft
De EU AI Act is al van kracht. Niet als iets om later naar te kijken, maar als geldend recht. Toch is het kader midden in de uitvoering al veranderd.
De wet in het kort
De AI Act is de eerste uitgebreide wettelijke regeling voor kunstmatige intelligentie wereldwijd. Het doel: betrouwbare AI in Europa, met heldere verplichtingen voor ontwikkelaars en gebruikers op basis van het risico dat een systeem met zich meebrengt.
Die risicostructuur is de kern van de wet. Vier niveaus: verboden toepassingen, hoog risico, beperkt risico en minimaal risico. De meeste AI-systemen die nu in de EU worden gebruikt, vallen in de categorie met minimaal of geen risico. Denk aan spamfilters of AI in videospellen. Wie in de hoog-risicocategorie werkt, moet documenteren, auditten en transparant zijn over hoe zijn systeem is gebouwd en werkt. Een toegankelijke eerste oriëntatie op wat de wet in de praktijk betekent, schreef Rob Hoeijmakers eerder op hoeijmakers.net.
Wat er nu wijzigt
Op 7 mei 2026 bereikten het Europees Parlement en de Raad een akkoord over het zogeheten AI Omnibus-pakket. Het akkoord maakt onderdeel uit van een bredere EU-vereenvoudigingsagenda en wijzigt een aantal bepalingen van de AI Act, nog vóór de meeste verplichtingen per 2 augustus 2026 van kracht worden.
De belangrijkste verschuivingen:
De verplichtingen voor hoog-risico AI-systemen onder Annex III, waaronder systemen op het gebied van biometrie, onderwijs, werk en grensbeheer, gaan nu pas in op 2 december 2027. Voor systemen die vallen onder Annex I, gekoppeld aan bestaande EU-productveiligheidsregelgeving zoals medische apparatuur of machines, is de deadline 2 augustus 2028. De reden: de technische standaarden die organisaties nodig hebben om aan de regels te voldoen, bestaan nog niet allemaal. Uitstel voorkomt dat bedrijven worden afgerekend op eisen die nog niet uitgewerkt zijn.
Transparantieverplichtingen rond AI-gegenereerde content, inclusief watermerktechnieken die machineleesbaar maken dat content kunstmatig is gegenereerd, gelden vanaf 2 december 2026 in plaats van augustus van dit jaar.
Een nieuw verbod wordt toegevoegd aan de al bestaande lijst van verboden praktijken. Het akkoord introduceert een volledig EU-breed verbod op AI-systemen waarvan het primaire doel is niet-consensuele expliciete of intieme beelden te genereren, de zogeheten "nudification apps". Dit verbod geldt voor zowel aanbieders als gebruikers van dergelijke systemen. Inwerkingtreding: 2 december 2026.
Het vereenvoudigde nalevingskader dat al gold voor kleine en middelgrote ondernemingen wordt uitgebreid naar bedrijven met maximaal 750 medewerkers en een jaarlijkse omzet tot €150 miljoen. Voordelen zijn onder meer toegang tot regulatory sandboxes, vereenvoudigde documentatie en lagere boetes.
Wat dit betekent voor de praktijk
Het uitstel van deadlines geeft ruimte, maar is geen stilstand. De AI Act is al van kracht. Organisaties worden geacht nu al te werken aan compliance: AI-toepassingen inventariseren, risico's in kaart brengen, documentatie opbouwen. De verlengde termijnen zijn bedoeld voor organisaties die die voorbereiding serieus nemen.
Wat wij zien bij opdrachtgevers: de wet wordt nog te vaak behandeld als een juridisch vraagstuk voor later. Terwijl de echte uitdaging organisatorisch is. Welke systemen gebruik je? Wie is verantwoordelijk voor menselijk toezicht? Hoe leg je beslissingen vast? Dat zijn geen compliance-vragen. Dat zijn vragen over hoe een organisatie werkt.
De AI Act dwingt daar antwoord op te geven. Het Omnibus-akkoord geeft wat meer tijd. Maar de richting is duidelijk.
