De AI Omnibus: wat verandert er, en wat moet jij nú doen?

Op 6 mei 2026 publiceerde het Europees Parlement het zogenoemde "AI Omnibus"-pakket: een reeks gerichte wijzigingen op de AI Act. De naam is misleidend bescheiden voor compliance-professionals, AI-bedrijven en hun klanten zitten er stevige praktische gevolgen in. Hieronder zet ik uiteen wat er verandert en belangrijker wat jij er nu mee moet.

1. Definitie 'veiligheidscomponent' wordt scherper gesteld

Wat verandert er?

De definitie van 'safety component' (artikel 3(14) AI Act) wordt aangescherpt. Een AI-systeem kwalificeert alleen als veiligheidscomponent als het bedoeld is om risico's voor gezondheid en veiligheid te voorkomen of te beperken. Dat moet dus de uitdrukkelijke bedoeling van de aanbieder zijn.

Nieuw toegevoegd: AI-systemen die uitsluitend dienen voor gebruikersgemak, prestatie-optimalisatie, efficiëntie, automatisering of kwaliteitscontrole zijn géén veiligheidscomponenten tenzij een storing ervan wél de gezondheid of veiligheid in gevaar brengt.

Wat betekent dit in de praktijk?

• Compliance-professionals: Herzie je bestaande classificatieanalyses. Systemen die je eerder als hoog-risico had geclassificeerd vanwege een vage koppeling aan een veiligheidsproduct, kunnen nu buiten scope vallen. Documenteer opnieuw de intended purpose van elk AI-systeem.
• AI-bedrijven: Zorg dat je productdocumentatie helder beschrijft wat het AI-systeem wel en niet bedoeld is te doen. De bedoeling van de aanbieder is nu juridisch doorslaggevend. Wees precies.
• Klanten (gebruikers van AI-enabled producten): Het feit dat een product onder veiligheidsregelgeving valt, betekent niet automatisch meer dat het ingebedde AI-systeem hoog-risico is. Vraag je leverancier om een hernieuwde risicoanalyse.

2. Conformiteitsbeoordeling: meer keuzevrijheid voor fabrikanten

Wat verandert er?

Artikel 43 AIA wordt aangepast: fabrikanten van AI-producten die vallen onder sectorale EU-wetgeving (zoals de Machinery Regulation) behouden hun keuze voor een conformiteitsbeoordelingsprocedure. De aanwezigheid van een hoog-risico AI-systeem als veiligheidscomponent verplicht hen niet automatisch tot een third-party conformiteitsbeoordeling, als sectorale wetgeving dat zelf ook niet vereist.

Wat betekent dit in de praktijk?

• Compliance-professionals: Als je organisatie producten maakt die onder Annex I van de AI Act vallen (machines, medische hulpmiddelen, enz.), controleer dan of je conformiteitspad opnieuw goedkoper of eenvoudiger kan. Derde-partij beoordeling is niet langer automatisch vereist als dat sectoraal ook niet geldt.
• AI-bedrijven (in producten geïntegreerd): Je klant-fabrikant kan mogelijk zelf-conformiteit handhaven via geharmoniseerde normen. Dit kan een verkoopargument zijn: minder regeldruk voor de afnemer.
• Klanten: Verwacht dat leveranciers hun conformiteitsaanpak herzien. Vraag om onderbouwing.

3. Minder overlap tussen AI Act en sectorale wetgeving

Wat verandert er?

Een nieuw artikel 2(13) geeft de Commissie de bevoegdheid om via gedelegeerde handelingen te bepalen dat specifieke AI Act-vereisten (artikelen 9–15, 17–25) niet van toepassing zijn als sectorale wetgeving gelijkwaardig of hoger bescherming biedt. De Commissie moet deze handelingen vaststellen vóór 2 augustus 2027.

Bovendien komen er uiterlijk 1 augustus 2027 richtsnoeren van de Commissie (artikel 96) die uitleggen hoe de AI Act en sectorale wetgeving samen nageleefd kunnen worden zonder dubbel werk.

Wat betekent dit in de praktijk?

• Compliance-professionals: Ga nu al inventariseren waar overlap bestaat tussen AI Act-verplichtingen en sectorale vereisten (MDR, RED, Machinery). Dit is input voor eventuele consultaties met de Commissie én voor je eigen compliance-roadmap. Zet de vereisten naast elkaar.
• AI-bedrijven: Houd de gedelegeerde handelingen in de gaten. Deze kunnen aanzienlijke administratieve lastenverlichting brengen maar die is er nog niet. Plan voor twee scenario's: met en zonder overlap-uitzondering.
• Klanten: Dit heeft indirect effect: leveranciers kunnen minder dubbele documentatie hoeven aan te leveren. Pas contractuele verplichtingen aan zodra de richtsnoeren er zijn.

4. Watermerking: deadline opgeschoven

Wat verandert er?

Aanbieders van AI-systemen die synthetische audio, beeld, video of tekst genereren — inclusief GPAI-modellen — die vóór 2 augustus 2026 al op de markt zijn, krijgen extra tijd. De deadline om te voldoen aan de watermerkvereisten van artikel 50(2) schuift op van december 2026 naar 2 februari 2027.

Wat betekent dit in de praktijk?

• AI-bedrijven (generatieve AI): Je hebt iets meer tijd, maar begin nú. Watermerking is technisch niet triviaal. Zorg dat je een C2PA-compatibele of vergelijkbare implementatie klaarlegt.
• Compliance-professionals: Pas je tijdlijn aan maar gebruik de extra maanden niet om te wachten. Plan een technische feasibility-check in Q3 2026.
• Klanten: Als je een generatief AI-systeem inkoopt of integreert, vraag expliciet naar de watermerklösung van je leverancier en de geplande implementatiedatum.

5. AI-sandboxes: iets meer tijd

Wat verandert er?

Lidstaten moeten uiterlijk december 2027 (was: augustus 2027) een operationele AI regulatory sandbox hebben.

Wat betekent dit in de praktijk?

• AI-bedrijven (innovatieve toepassingen): De sandbox kan interessant zijn voor ontwikkeling van grensgevallen. Houd de nationale uitrol in de gaten — in Nederland is dit belegd bij de RDI en de AP.
• Compliance-professionals: Lagere prioriteit voor nu; de deadline is verzacht. Wel handig om te volgen als je klanten hebt die experimentele AI-toepassingen willen deployen.

6. Verbod op niet-consensuele intieme beelden: aanscherping én uitbreiding

Wat verandert er?

De verbodsbepaling (artikel 5) voor het genereren van niet-consensueel intiem materiaal wordt verduidelijkt: het gaat om realistische afbeeldingen van intieme lichaamsdelen. De toepassingsdatum voor deze nieuwe verboden is opgeschoven naar 2 februari 2027 (was: 2 december 2026).

Belangrijk: de verboden laten ruimte voor nationale remedies op grond van privacyrecht, portretrecht en menselijke waardigheid.

Wat betekent dit in de praktijk?

• AI-bedrijven (beeldgeneratie, deepfakes, avatars): Zorg dat je content-moderatiebeleid en technische filters vóór februari 2027 op orde zijn. Dit is een hard verbod — geen ruimte voor 'grey areas'.
• Compliance-professionals: Voeg dit verbod toe aan je verbodenchecklist. Controleer of je klanten of platforms dit risico lopen.
• Klanten: Als je gebruikmaakt van generatieve beeldtools, controleer de gebruiksvoorwaarden en technische safeguards van je aanbieder.

7. Machinery Regulation: nieuwe AI-specifieke eisen via delegated acts

Wat verandert er?

De Machinery Regulation (EU) 2023/1230 wordt aangevuld: de Commissie krijgt de bevoegdheid om via gedelegeerde handelingen gezondheids- en veiligheidsspecificaties te stellen voor hoog-risico AI-systemen in machines. Deze eisen gelden uiterlijk 2 augustus 2028.

Wat betekent dit in de praktijk?

• Compliance-professionals (machinebouw): Dit heeft nog geen directe werking, maar zet het op de radar. De gedelegeerde handelingen zullen specifiek ingaan op Hoofdstuk III, Sectie 2 van de AI Act.
• AI-bedrijven (voor machinebouw): Bereid je voor op aanvullende technische eisen vanaf 2028. Stem af met je klanten in de maakindustrie.