Wat betekent de Digital Omnibus voor organisaties die met AI werken? Met de Digital Omnibus wil de Europese Commissie de AI Act op een aantal punten bijstellen.[1] Een belangrijk onderdeel daarvan is de EU-database voor mogelijke hoog risico AI-systemen. Die database verschuift van een breed overzicht van systemen in gevoelige domeinen naar een selectiever register van systemen die daadwerkelijk als hoog risico zijn geclassificeerd.
Het wordt des te belangrijker om intern scherp vast te leggen hoe systemen zijn geclassificeerd, welke risicoafwegingen zijn gemaakt en hoe daarop wordt toegezien. Minder registratiedruk betekent niet minder verantwoordelijkheid. Een goed onderbouwde classificatie en robuuste interne documentatie blijven een randvoorwaarde om AI-systemen verantwoord en aantoonbaar zorgvuldig in te zetten, ook als de wettelijke focus verschuift van openbaar overzicht naar toezicht achteraf.
Update van het Europese digitale kader
In eerdere artikelen bespraken wij hoe de Europese Commissie zoekt naar een balans tussen bescherming en werkbaarheid, hoe het tijdpad voor hoog-risicoregime daarbij centraal staat en wat de herziening van de AI-geletterdheidseis vraagt van organisaties die met AI werken. In dit derde artikel staat de EU-database voor mogelijke hoog-risico AI-systemen centraal. Eerst laten we zien hoe deze database onder de Digital Omnibus zou veranderen. Daarna laten we zien hoe Lex Digitalis jouw organisatie helpt om classificaties, documentatie en intern toezicht zo in te richten dat je ook in dit nieuwe kader aantoonbaar zorgvuldig met AI kunt blijven werken.
Krimp AI-database
De kern van het Digital Omnibusvoorstel is dat de EU-database kleiner en selectiever wordt. De AI Act verplicht aanbieders van bepaalde hoog-risico AI-systemen[2] om deze te registreren in een centrale Europese AI-database die de Europese Commissie beheert.[3] De database bevat basisinformatie over het systeem en is grotendeels openbaar, met uitzonderingen voor onder meer rechtshandhaving, migratie, asiel en grensbewaking en voor bepaalde kritieke infrastructuursystemen die lidstaten nationaal registreren.[4]Onder de AI Act heeft de database de functie van een breed overzicht van hoog-risico AI-systemen.
Grensgevallen
Systemen die een aanbieder zélf niet als hoog risico classificeert omdat de aanbieder een uitzonderingsgrond inroept, moeten ook worden geregistreerd in de database.[5] Denk aan AI-toepassingen met een beperkte procedurele taak of systemen die alleen een voorbereidend onderdeel van besluitvorming vormen.[6] In de database komen zo zowel de “echte” hoog-risico AI-systemen als de grensgevallen terecht.
Dat dubbele overzicht vervult een belangrijke waarborgfunctie. Enerzijds wordt zichtbaar welke systemen daadwerkelijk als hoog risico zijn geclassificeerd. Anderzijds laat de database zien welke toepassingen volgens de aanbieder buiten de hoog-risicokwalificatie vallen, maar wel in een gevoelig domein opereren. Daarmee wordt ook zichtbaar welke aanbieders een beroep doen op een uitzondering op de hoog-risicokwalificatie. Het publieke overzicht fungeert als ex ante controlemechanisme. Nog vóór marktintroductie wordt zichtbaar welke systemen zich in de grijze zone bevinden.
Geen registratieplicht
Met het Digital Omnibusvoorstel zou dat fundamenteel veranderen. De Europese AI-database verliest haar oorspronkelijke functie als breed overzicht van mogelijke hoog-risico AI-systemen. Organisaties die zelf besluiten dat hun AI-systeem géén hoog risico vormt, hoeven dat systeem straks niet meer te registreren in de EU-database.[7] De database ontwikkelt zich van een combinatie van echte hoog-risicosystemen en grensgevallen naar een selectiever register van systemen die daadwerkelijk als hoog risico zijn geclassificeerd. Het gebruik van de uitzonderingsgrond blijft wel bestaan, maar wordt in de openbare database niet meer zichtbaar.
Wel documentatieplicht
Belangrijk is dat de documentatieplicht voor aanbieders in volle omvang blijft bestaan. De verplichting om vast te leggen waarom een Annex III-systeem niet als hoog-risico kwalificeert, verandert namelijk niet. Aanbieders moeten vóór marktintroductie of ingebruikname vastleggen welke functie het systeem vervult, welke factoren de risico’s beperken en waarom het systeem volgens hun beoordeling geen significant risico oplevert.[8] Zij houden die onderbouwing bij in hun interne documentatie en leveren die op verzoek aan de bevoegde autoriteit. Toezichthouders kunnen deze afweging vervolgens toetsen en ingrijpen als zij vinden dat de uitzondering onterecht is gebruikt.[9] Op papier blijft de zorgplicht voor grensgevallen dus even zwaar, maar de controle verschuift van publieke registratie naar interne dossiervorming en toezicht achteraf.
Minder registratiedruk
Voor organisaties levert deze wijziging een duidelijk voordeel op. De EU-database ontwikkelt zich meer tot een register van systemen die daadwerkelijk onder het strengste regime vallen en minder tot een verzamelplaats van randgevallen. Voor organisaties vervalt een dubbele stap. Zij hoeven grensgevallen niet langer te registreren of wijzigingen daarvan in de EU-database bij te houden.
Transparantie
Dat voordeel heeft echter een prijs in termen van transparantie. De bescherming verschuift van openbaarheid vooraf naar intern risicobeheer en toezicht achteraf. Waar registratie van hoog-risicosystemen eerder zichtbaar maakte welke afwegingen aanbieders maakten en waar de grijze zone lag, verdwijnt dat publieke overzicht grotendeels. Toezichthouders, NGO’s en journalisten kunnen veel moeilijker zien welke systemen in gevoelige domeinen zonder hoog-risicolabel opereren en op basis van welke redenering een aanbieder een systeem buiten het hoog-risicoregime plaatst. Voor organisaties betekent dit minder zicht van buitenaf, maar niet minder noodzaak om de interne beoordeling scherp en controleerbaar uit te voeren. Juist die beoordeling vormt bij incidenten en toezicht het eerste aanknopingspunt.
Gevolgen voor individuen en handelingsperspectief
Voor individuen en groepen mensen heeft deze verschuiving onmiskenbaar negatieve gevolgen. Waar de EU-database nog een aanknopingspunt bood om te achterhalen of en waar AI in gevoelige domeinen werd ingezet, verdwijnt dat oriëntatiepunt nu grotendeels. Burgers, journalisten en maatschappelijke organisaties krijgen minder zicht op welke systemen aan de basis liggen van besluiten over werk, inkomen, zorg of handhaving.
Daarmee neemt de informatieasymmetrie toe en blijft het handelingsperspectief voor het individu beperkt. Wie een besluit wil laten toetsen of structurele bias wil aantonen, is nog sterker aangewezen op procederen, op eigen onderzoeksvermogen of op de bereidheid van organisaties om vrijwillig meer openheid te geven dan strikt juridisch vereist is. Lex Digitalis vindt dat organisaties in dit nieuwe kader juist een extra verantwoordelijkheid hebben om die lacune in transparantie richting betrokkenen serieus te nemen en vrijwillig verder te gaan dan het minimale vinklijstje van de AI Act.
Hoe Lex Digitalis kan helpen
De verschuiving van publieke registratie naar interne documentatie betekent dat de kwaliteit van het eigen dossier belangrijker wordt dan ooit. Lex Digitalis helpt organisaties om deze nieuwe werkelijkheid beheersbaar te maken.
Stap 1: overzicht systemen en grijze zones
Wij brengen in kaart welke systemen mogelijk in de AI-database thuishoren, welke toepassingen zich in de grijze zone bevinden en welke documentatie nodig is om een keuze voor of tegen een hoog-risicolabel te dragen. Daarbij kijken we niet alleen naar de letter van Annex III, maar ook naar de context van het gebruik, de keten waarin het systeem wordt ingezet en de rollen van aanbieder en gebruiksverantwoordelijke.
Stap 2: Consistente classificatie en documentatie
Lex Digitalis helpt publieke en private organisaties die AI-systemen inkopen of zelf ontwikkelen om hun rol onder de AI Act scherp te krijgen. We formuleren de juiste vragen aan leveranciers, stemmen contracten, DPIA’s en fundamental rights impact assessments op elkaar af en zorgen dat de onderbouwing van classificaties consistent is in juridische documenten, interne beleidsstukken en technische documentatie. Zo ontstaat één samenhangend verhaal waarmee je tegenover toezichthouders en interne auditcommissies kunt uitleggen waarom een systeem wél of juist niet als hoog risico is aangemerkt.
Stap 3: Actuele checks en toezicht
Door ontwikkelingen in Brussel en bij nationale toezichthouders te volgen, vertalen wij nieuwe richtsnoeren en besluiten naar concrete checks in jouw classificatieproces en documentatie. Zo hoeft jouw organisatie niet zelf alle details van het Europese debat te blijven volgen, maar werk je wel met een dossier dat up to date is en aansluit bij de verwachtingen van toezichthouders.
Conclusie
Het Digital Omnibusvoorstel verandert weinig aan de materiële eisen van de AI Act, maar wel de manier waarop die eisen in de praktijk uitwerken. De EU-database wordt kleiner en selectiever. Mogelijke hoog-risico AI-systemen die uiteindelijk buiten de hoog-risicokwalificatie vallen, verdwijnen grotendeels uit het publieke zicht. De externe transparantie over grensgevallen neemt af, terwijl de interne documentatieplicht volledig in stand blijft.
Voor organisaties betekent dit minder registratiedruk, maar niet minder verantwoordelijkheid. Het wordt belangrijker om classificaties zorgvuldig te onderbouwen, interne documentatie op orde te hebben en de eigen governance zo in te richten dat die onderbouwing standhoudt bij incidenten en toezicht. Lex Digitalis helpt daarbij door samenhang te brengen in systemen, documentatie en besluitvorming en door tijdig te signaleren wanneer het Europese kader verschuift. Zo wordt de Digital Omnibus geen abstract juridisch plan, maar een concreet kader waar jouw organisatie zorgvuldig en soepel binnen kan werken.
[1] Zie COM(2025) 836 final (Digital Omnibus on AI). https://eerstekamer.nl/9370000/1/j4nvi0xeni9vr2l_j9vvkfvj6b325az/vmsmjq4l23s6/f=/vmsmjqpf33sn.pdf.
2 Betreffende AI die fungeert als veiligheidscomponent van gereguleerde producten én AI-toepassingen uit de risicolijst in Annex I en III van de AI Act.
3 Artikel 71 lid 1 en lid 6 AI Act.
4 Artikel 71 lid 4, artikel 49 lid 4 en lid 5, artikel 60 lid 4 onder c en overweging 131 AI Act.
5 Artikel 6 lid 3, lid 4 en artikel 49 lid 2 AI Act.
6 Artikel 6(3).
7 Het betreft hier specifiek de situatie waarin een aanbieder op grond van artikel 6, derde lid AI Act, concludeert dat een bijlage III systeem geen hoog risico vormt.
8 Zie bijvoorbeeld COM(2025) 836 final (Digital Omnibus on AI), Explanatory Memorandum, p. 2, over de vermindering van de registratieplicht maar niet van de onderliggende verplichtingen, en art. 1, punt 6, waarmee art. 6 lid 4 AI Act wordt vervangen
9 Zie artikel 6 lid 4 en artikel 80 AI Act.