De Digital Omnibus: wat verandert er voor uw AI-praktijk?

Waarom deze wijzigingen? 

Europa wil wereldwijd leidend zijn in verantwoord gebruik van AI. De wijze waarop de AI-regelgeving wordt ingevoerd, leidt in de praktijk echter tot vertraging en onzekerheid.  De nalevingslasten blijken zwaar te wegen, met name voor MKB en start-ups. Tegelijkertijd zijn in veel lidstaten bevoegde toezichthouders nog niet volledig operationeel, komen regulatory sandboxes slechts moeizaam van de grond en laten geharmoniseerde standaarden op zich wachten.  

De Digital Omnibus Package is het antwoord van de Europese wetgever op deze uitvoeringskloof.  Het pakket beoogt verlichting te bieden van verplichtingen, uitstel daarvan en proportionelere lasten voor kleinere marktpartijen en een sterkere, centralere rol voor de European AI Office. Dit is het Europese AI bureau (zie: Europees AI-bureau | De digitale toekomst van Europa vormgeven) dat binnen de Europese Commissie is opgericht als basis voor een Europees governancesysteem. De European AI Office is samen met de nationale toezichthouders verantwoordelijk voor de uitvoering, het toezicht op en de handhaving van de AI Verordening.

Vijf voorgestelde wijzigingen van de AI Act

1. Uitstel van verplichtingen voor hoog-risico AI systemen

De Digital Omnibus wijzigt de inhoud van de verplichtingen voor hoog-risico AI niet, maar biedt meer tijd voor naleving van de verplichtingen, tot maximaal zestien maanden extra.

De nieuwe uiterste data voor compliancy zijn:

• Annex III (o.a. HR, krediet, onderwijs, zorg, migratie): uiterlijk 2 december 2027 (was: 2 augustus 2026)
• Annex I (AI ingebouwd in gereguleerde producten zoals medische hulpmiddelen en machines): uiterlijk 2 augustus 2028 (was: 2 augustus 2027)

Het daadwerkelijke moment van toepassing wordt gekoppeld aan de beschikbaarheid van geharmoniseerde standaarden, richtsnoeren en templates. De Europese Commissie beoordeelt wanneer aan deze voorwaarden is voldaan. De verplichtingen kunnen dus ook eerder ingaan.

2. Vereenvoudigde verplichtingen voor start-ups en klein MKB

Het tweede voorstel richt zich op start-ups en kleine MKB-ondernemingen die optreden als aanbieder of gebruiker van hoog-risico AI-systemen.  Voor deze groep worden verplichtingen vereenvoudigd, met name ten aanzien van:

• technische documentatie, en
• kwaliteitsmanagementsystemen (QMS).

De kernverplichtingen van de AI Verordening blijven echter onverkort van kracht. De precieze afbakening van de doelgroep en de concrete invulling wordt nog nader uitgewerkt via richtsnoeren en ondersteunende instrumenten.

3. Versterkte rol van de European AI Office bij toezicht op General Purpose AI (GPAI)

Het derde voorstel centraliseert het toezicht op General Purpose AI (GPAI) verder op Europees niveau. De European AI Office krijgt:

• expliciete toezicht- en handhavingsbevoegdheden voor GPAI.
• de bevoegdheid om pre-market conformity assessments uit te voeren, zodat toezicht ook vóór markttoegang plaatsvindt.
• uitgebreidere bevoegdheden om handhavend op te treden bij GPAI-modellen die al op de markt zijn.

4. Een additionele AI sandbox op Europees niveau

Het vierde voorstel introduceert een regulatory sandbox op EU-niveau, ondergebracht bij de European AI Office. Deze EU-sandbox is specifiek bedoeld voor AI-toepassingen met een:

• grensoverschrijdend karakter, of
• schaalbaar karakter waarvoor een puur nationale aanpak tekortschiet.

De EU-sandbox is een aanvulling op bestaande nationale sandboxes en beoogt meer samenhang en consistentie in de experimenteerruimte binnen de Europese Unie.

5. Verschuiving in de benadering van AI-geletterdheid

Onder de huidige AI Verordening is AI-geletterdheid (AI literacy) bij personeel dat met AI werkt een verplichting voor aanbieders en gebruikers van AI. De Digital Omnibus stelt voor om die verantwoordelijkheid te verschuiven:

• AI-geletterdheid wordt primair een beleidsdoelstelling van overheden (Commissie en lidstaten).
• invulling via voorlichting, educatie en capaciteitsopbouw, in plaats van toezicht en handhaving.
• de rol van AI-geletterdheid als randvoorwaarde voor verantwoord AI-gebruik blijft behouden, maar krijgt een andere plek in het regelgevingskader.

Twee voorgestelde wijzigingen in de toepassing van de AVG

Wie met AI werkt, krijgt vrijwel altijd te maken met de AVG. De brede reikwijdte van de AI verordening blijkt in de praktijk remmend te werken: organisaties zijn terughoudend in het trainen, testen en verbeteren van AI-systemen, ook wanneer dat juist nodig is om risico's te beheersen. De inzet van de Digital Omnibus is nadrukkelijk niet het loslaten van privacybescherming, maar een functionelere en proportionelere toepassing van de bestaande regels.

6. Herijking van het begrip 'persoonsgegevens' in AI-context

Onder de huidige AVG is het begrip 'persoonsgegevens' breed: ook data die personen indirect identificeerbaar maken vallen eronder, zelfs als de kans op daadwerkelijke identificatie beperkt is.

De Digital Omnibus zet in op een meer functionele en gerichte toepassing van dit begrip, met een sterkere focus op data die direct herleidbaar zijn tot natuurlijke personen. Het beoogde effect: bepaalde vormen van datagebruik voor AI-ontwikkeling vallen minder snel automatisch onder het AVG-regime, waardoor datatoegankelijkheid en rechtszekerheid toenemen.

De kern van gegevensbescherming blijft echter intact.

7. AI-training onder 'gerechtvaardigd belang' als uitgangspunt

In de praktijk bestaat onzekerheid over de vraag of organisaties voor de verwerking van persoonsgegevens bij AI-training een beroep kunnen doen op 'gerechtvaardigd belang', of dat toestemming in beginsel de aangewezen grondslag is.

De Digital Omnibus erkent expliciet dat het verwerken van persoonsgegevens voor het trainen van AI-systemen in beginsel kan kwalificeren als een gerechtvaardigd belang. AI-training wordt daarmee gepositioneerd als een legitiem economisch en maatschappelijk belang.

Maar: persoonsgegevens mogen niet onbeperkt worden gebruikt. Het beroep op gerechtvaardigd belang blijft onderworpen aan de klassieke AVG-afweging:

1. het belang moet legitiem zijn;
2. de verwerking moet noodzakelijk zijn voor dat belang; en
3. de rechten en vrijheden van betrokkenen mogen niet zwaarder wegen.

Concrete aanbevelingen:

Hoewel de verplichting om compliant te zijn met de AI-verordening voor een aantal verplichtingen is uitgesteld, raden wij aan niet af te wachten, maar alvast de volgende zaken zo goed mogelijk te regelen:  

• Breng in kaart welke AI-tools binnen uw organisatie worden gebruikt;
• Beoordeel of sprake kan zijn van de ontwikkeling of inzet van een hoog-risico AI – systeem en breng deze hoog-risico AI-systemen in kaart. Plan uw compliance-traject richting 2027/2028, waarbij u rekening houdt met een scenario waarin compliance eerder vereist is;
• Beoordeel of u in aanmerking komt voor de vereenvoudigde MKB-verplichtingen of de EU-sandbox;
• Actualiseer uw datastrategie: welke persoonsgegevens gebruikt u voor training en testen, en op welke grondslag?
• Controleer (bestaande) afspraken met leveranciers;
• Stel beleid op voor verantwoord AI-gebruik;
• Voer een LIA uit als u AI-training wilt baseren op gerechtvaardigd belang;
• Blijf investeren in AI-kennis binnen uw organisatie en maak medewerkers bewust van AI-risico’s ook al is de formele verplichting om uw medewerkers AI geletterdheid te maken wat afgezwakt.

Boetes en sancties

Na deze deadlines kunnen toezichthouders actief handhaven en boetes opleggen. Deze boetes kunnen oplopen tot 35 000 000 EUR of zeven procent van de wereldwijde jaaromzet gerekend over het vorige jaar.  

Heeft u vragen over wat de Digital Omnibus concreet betekent voor uw organisatie? Neem contact met ons op; wij helpen u graag bij het vertalen van deze ontwikkelingen naar uw eigen AI-compliancestrategie.