AI-verordening: nu al op de schop (de Digitale Omnibus inzake AI en de gevolgen voor fundamentele rechten en vrijheden)

Artikel door Gijs van Berkel. Oorspronkelijk verschenen in AI-Forum 2026-2.

De kogel is door de kerk. Terwijl de AI-verordening nog niet volledig in werking is getreden, stemde het Europees Parlement op 16 juni 2026 in met de aanpassingen aan de AI-verordening in het kader van de Digitale Omnibus. De AI-verordening zou volledig in werking treden op 2 augustus 2026, maar nog vóór die datum voert de Europese wetgever de wijzigingen door.

‘Orde in de chaos’; zo lijkt de Digitale Omnibus gepresenteerd te worden. Met dit pakket probeert de Europese Commissie de snel gegroeide hoeveelheid digitale regelgeving binnen de Europese Unie beter op elkaar af te stemmen. Het plan is helder: minder overlappingen, minder inconsistenties en meer ruimte voor innovatie.[1] Voor deze doeleinden liggen er maar liefst twee Omnibus-pakketten: de Digital Omnibus, die onder meer de Algemene Verordening Gegevensbescherming (‘AVG’)[2], de Dataverordening[3], de ePrivacy‑richtlijn[4] en de NIS2‑richtlijn[5] aanpast, en een aparte Digital Omnibus on AI, die de AI‑verordening[6] onder handen neemt.

Dit is een preview. Het volledige artikel is nu beschikbaar op www.AI-Forum.nl

De ontwikkeling van de Digitale Omnibus inzake AI is opvallend. De AI-verordening is namelijk nog niet volledig van toepassing, terwijl de Europese wetgever reeds ingrijpende wijzigingen doorvoert. Verschillende bepalingen – waaronder regels over hoogrisico‑AI-systemen, General Purpose AI-modellen (GPAI‑modellen) en transparantieverplichtingen – zouden volgens de Commissie in de praktijk nog moeilijk uitvoerbaar zijn.

Implementatietermijnen worden aangepast, administratieve verplichtingen verlicht, bevoegdheden van toezichthouders gewijzigd en nieuwe uitzonderingen en verboden worden geïntroduceerd. Tegelijkertijd is er een aanzienlijk tegengeluid dat erop wijst dat de EU de digitale mensenrechten moet beschermen.[7]

In dit artikel staat daarom de volgende vraag centraal:

Welke wijzigingen brengt de Digitale Omnibus aan in de AI‑verordening en in hoeverre kunnen deze van betekenis zijn voor de bescherming van fundamentele rechten en vrijheden van personen?

Om deze vraag te beantwoorden wordt eerst kort de ontwikkeling van de AI‑verordening en de Digitale Omnibus geschetst. Vervolgens worden de belangrijkste voorgestelde wijzigingen uit het voorlopige akkoord besproken met inbegrip van een analyse van de standpunten van Europese instellingen. Tot slot wordt ingegaan op de gevolgen voor de fundamentele rechten en vrijheden van personen.

Een korte terug- en vooruitblik

Voordat dieper wordt ingegaan op de inhoud van de wijzigingen, is het nuttig om kort stil te staan bij de ontwikkeling van de AI-verordening en de Digitale Omnibus.

De AI-verordening vormt het eerste uitgebreide Europese regelgevingskader voor kunstmatige intelligentie. De verordening werkt met een risicogebaseerde benadering, waarbij AI‑systemen afhankelijk van het risico onder verschillende verplichtingen vallen.[8] Een belangrijk onderdeel van de AI-verordening zijn de regels voor hoog-risico‑AI‑systemen, die onder meer zien op systemen die worden ingezet binnen kritieke infrastructuur, HR-processen, onderwijs, rechtshandhaving en biometrie. De verordening bevat daarnaast bepalingen over General Purpose AI-modellen (GPAI), transparantie en AI-geletterdheid.

Kort na de vaststelling van de AI-verordening ontstond echter kritiek vanuit zowel tech-ondernemingen als lidstaten op de praktische uitvoerbaarheid van verschillende onderdelen van de verordening. Daarbij werd met name gewezen op de omvang van administratieve verplichtingen, de overlap met bestaande sectorale regelgeving en de beperkte beschikbaarheid van technische normen en richtsnoeren die noodzakelijk zijn voor effectieve naleving van de Verordening.

In reactie op deze kritiek presenteerde de Europese Commissie op 19 november 2025 het voorstel voor de Digital Omnibus voor AI. Opvallend is vooral het uitzonderlijk snelle verloop van het daaropvolgende wetgevingsproces. Binnen enkele maanden namen het European Data Protection Board (‘EDPB’) en de European Data Protection Supervisor (‘EDPS’), de Raad van de Europese Unie en het Europees Parlement hun standpunten in, vonden triloogonderhandelingen plaats en werd op 13 mei 2026 een voorlopig akkoord bereikt. [9] Op 16 juni 2026 stemde het Europees Parlement definitief in met de wijziging van bepaalde regels uit de AI-verordening.

De wijzigingen aan de AI-verordening

De Europese Commissie presenteert de Digitale Omnibus als een stroomlijning van de digitale regelgeving.[10] Volgens de Commissie moet de AI-verordening beter uitvoerbaar worden, zonder afbreuk te doen aan de bescherming van fundamentele rechten. De vraag is wat deze precieze wijzigingen zijn en in hoeverre de opvattingen van het EDPB en het EDPS, het Europees Parlement en de Raad van de Europese Unie gevolgd zijn bij het sluiten van het compromis.

(i) Implementatietermijn hoogrisico-AI-systemen

Eén van de meest substantiële wijzigingen die de Europese Commissie voorstelde, betreft de implementatietermijnen voor de regels voor hoogrisico-AI-systemen (‘hoogrisico-systemen’). Zoals reeds vermeld, zouden regels voor hoog-risico-systemen op 2 augustus 2026 in werking treden.[11] In het kader van de Omnibus stelde de Commissie voor de inwerkingtreding van hoog-risico-systemen te koppelen aan de beschikbaarheid van ondersteunende instrumenten en richtlijnen, zodat de regels van toepassing worden zodra de Commissie bevestigt dat deze ondersteunende instrumenten beschikbaar zijn. De Commissie had hier in beginsel een sectorspecifieke benadering voor ogen, waarbij per sector de regels van toepassing zouden worden.

De Raad ondersteunt het voorgestelde uitstel, maar stelt voor de nieuwe toepassingsdata vast te leggen; voor autonome hoogrisico-systemen een toepassingsdatum van 2 december 2027 en voor geïntegreerde hoogrisico-systemen een toepassingsdatum van 2 augustus 2028. Het Europees Parlement heeft zich bij deze lijn aangesloten, mede vanuit het oogpunt van rechtszekerheid voor marktdeelnemers.[12]

Dit voorstel werd echter niet bij alle Europese autoriteiten gesteund. Het EDPB en het EDPS nemen een aanzienlijk kritischer standpunt in. Hoewel zij erkennen dat bepaalde oorzaken van het uitstel, zoals het ontbreken van technische standaarden, gedeeltelijk objectief van aard zijn, uiten zij ernstige zorgen over de gevolgen van het uitstel voor de bescherming van fundamentele rechten in het snel ontwikkelende AI-landschap.[13] AI-systemen ontwikkelen zich immers in hoog tempo, terwijl regels die een passend beschermingsniveau voor personen bieden, ontbreken.

Daarnaast wijzen het EDPB en het EDPS erop dat het voorstel niet alleen de implementatietermijnen verschuift, maar ook de zogenoemde ‘grandfathering clause’ uitbreidt. Dit artikel stelt toepasselijkheid van regels voor reeds bestaande AI-systemen uit, behalve wanneer deze systemen aanzienlijke wijzigingen in hun ontwerp ondergaan.[14] Daardoor zouden meerdere bestaande hoogrisico-systemen nog meerdere jaren buiten het materiële toepassingsbereik van de AI-verordening kunnen vallen, mits zij niet wezenlijk worden gewijzigd.

Deze posities komen samen in het uiteindelijke compromis, waarin gefaseerde deadlines worden opgenomen, maar onder strikte voorwaarden en met behoud van kernverplichtingen voor hoog-risico-systemen. De regels voor autonome hoogrisico-systemen treden in werking op 2 december 2027 en de regels voor hoogrisico-systemen die in producten zijn geïntegreerd, treden uiterlijk op 2 augustus 2028 in werking.

(ii) Aanpassingen voor kleine midcap-ondernemingen

Bestaande vereenvoudigingen voor kleine en middelgrote ondernemingen (‘KMO’) worden uitgebreid naar zogeheten small mid-cap enter-prises (‘SME’). SME’s zijn ondernemingen met minder dan 750 werknemers en 150 miljoen euro aan omzet of 129 miljoen euro aan totale activa. Blijkens het Europees Parlement nemen SME’s een steeds belangrijkere positie in, aangezien zij sneller groeien en een hoger niveau van innovatie kennen dan KMO’s. Tegelijkertijd ervaren SME’s vergelijkbare administratieve lasten. Om de overgang van KMO naar SME te faciliteren, worden bestaande vereenvoudigingen voor KMO’s uitgebreid naar SME’s.

Denk hierbij aan de plicht om technische documentatie op te stellen. De technische documentatie omvat onder andere het doel van het hoogrisico-systeem, hoe het systeem interageert met hard- of software en een basisbeschrijving van de gebruiksinterface. KMO’s mogen deze technische documentatie op vereenvoudigde wijze overleggen.[15] Deze mogelijkheid wordt nu óók uitgebreid naar SME’s.

Overige veranderingen voor SME’s betreffen onder meer de invoering van een vereenvoudigde procedure om te voldoen aan de verplichting tot implementatie van een kwaliteitsmanagementsysteem.[16] Daarnaast worden KMO’s ondersteund bij het versnellen van de toegang tot de Europese markt voor AI-systemen, onder meer door het faciliteren van sandboxes.[17] AI-sandboxes zijn gecontroleerde testomgevingen waarin AI-systemen kunnen worden getest zonder andere processen te verstoren.

Het EDPB en het EDPS staan echter kritisch tegenover de versoepelingen voor SME’s. Zij benadrukken dat de omvang van een onderneming niet noodzakelijk een geschikte maatstaf vormt voor het risico dat uitgaat van een hoogrisico-AI-systeem.[18] Volgens hen is het daarom niet wenselijk om verplichtingen inzake productveiligheid af te zwakken louter op basis van de grootte van de onderneming.

Het Europees Parlement is voorstander van dergelijke steunmaatregelen en pleit voor uitbreiding daarvan. Deze lijn zal dan ook worden doorgetrokken; de steunmaatregelen worden uitgebreid naar SME’s, ondanks de bezwaren van het EDPB en het EDPS.

(iii) Transparantieverplichtingen

(...)

Interesse? De volledige analyse is vrij toegankelijk via ons proefabonnement

[1] Europese Commissie, ‘Eenvoudigere digitale EU-regels en nieuwe digitale portemonnees om miljarden te besparen voor bedrijven en innovatie te stimuleren’, digital-strategy.ec.europa.eu 2025.

[2] Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).

[3] Verordening (EU) 2023/2854 (Dataverordening).

[4] Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie).

[5] Richtlijn (EU) 2022/2555 (NIS2-richtlijn).

[6] Verordening (EU) 2024/1689 (AI-verordening).

[7] Zie in dat verband: European Civic Forum, ‘Joint Letter: The EU must uphold hard-won protections for digital human rights’, civic-forum.eu 2025.

[8] Overweging 26 Verordening (EU) 2024/1689.

[9] COM(2025)836 def, p. 2-3.

Council document 9247/26.

EDPB & EDPS, Joint Opinion 2026/1, edps.europa.eu.

Brief van de Staatssecretaris van Justitie en Veiligheid van 8 april 2026, 7311378 www.open.overheid.nl.

[10] De Europese Commissie stelt: “At its core, the package includes a digital omnibus that streamlines rules on artificial intelligence (AI)”.