Wat betekent de Digital Omnibus voor organisaties die met AI werken? Met de Digital Omnibus wil de Europese Commissie de AI Act op een aantal punten bijstellen. In dit voorstel zou de Commissie het tempo van invoering van de AI Act verschuiven. Niet langer zou een vaste kalenderdatum het enige ijkpunt zijn, maar zou het moment waarop normen, specificaties en richtsnoeren beschikbaar zijn, leidend moeten worden. Daarmee is het uitgangspunt dat het kader in theorie beter uitvoerbaar wordt, al neemt de voorspelbaarheid voor organisaties mogelijk af.
Voor organisaties die met hoog-risico AI werken, betekent dit dat zij hun planning niet meer alleen zouden kunnen ophangen aan één datum. Zij zouden er dan ook rekening mee moeten houden dat besluiten van de Commissie over het instrumentarium én de vangnetdata in de wet het tijdpad mede gaan bepalen.
Update van het Europese digitale kader
Op 19 november 2025 presenteerde de Commissie de Digital Omnibus voor AI.[1] Daarmee past zij het Europese digitale regelgevingskader aan en zoekt zij opnieuw naar balans tussen bescherming en werkbaarheid. In dit artikel schetsen we wat dit in de praktijk betekent: eerst de beschrijving van de nieuwe fasering van het hoog-risicokader, daarna hoe Lex Digitalis jouw organisatie in de praktijk helpt om deze veranderingen te duiden, vervolgens structuur aan te brengen in complianceprocedures, structuur aan te brengen in het besluitvormingsproces en door het bieden van trainingen.
Aangepast tempo voor hoog risico AI
De AI Act is formeel in werking, maar slechts enkele bepalingen gelden al.[2] Verboden AI-toepassingen zijn sinds februari 2025 niet langer toegestaan, en aanbieders van general purpose AI-modellen moeten sinds augustus 2025 aan nieuwe verplichtingen voldoen.[3] De verplichting te voldoen aan de regels voor hoog-risico AI stond oorspronkelijk voor augustus 2026 gepland.[4] De Commissie stelt nu voor om deze verplichtingen voor hoog-risico AI-systemen afhankelijk te maken van het moment waarop Europese normen, gemeenschappelijke specificaties en aanvullende richtsnoeren beschikbaar komen.[5][6]
Niet de datum, maar de norm bepaalt
Met deze aanpassingen verschuift het Europese toezicht op hoog-risico AI van een aanpak waarin vaste kalenderdata leidend zijn naar een benadering waarin uitvoerbaarheid en gerealiseerde ondersteunende instrumenten centraal staan. Oorspronkelijk zouden de regels voor hoog-risico AI in stappen gaan gelden: op 2 augustus 2026 en 2 augustus 2027 gaan gelden. De voorgestelde Omnibusrichtlijn tracht de verplichtingen pas in te laten gaan nadat de Europese Commissie bij besluit formeel heeft vastgesteld dat er voldoende instrumenten beschikbaar zijn om naleving in de praktijk mogelijk te maken.[7][8]
Overgangstermijnen in de praktijk
Die instrumenten bestaan uit een combinatie van geharmoniseerde normen, gemeenschappelijke specificaties en Europese richtsnoeren. Zodra de Commissie aangeeft dat dit pakket voor een bepaalde categorie hoog-risico systemen gereed is, begint een overgangstermijn te lopen: zes maanden voor systemen uit bijlage III en twaalf maanden voor systemen die als onderdeel van gereguleerde producten onder bijlage I vallen. Blijft een besluit van de Commissie uit, dan geldt een vangnet: uiterlijk op 2 december 2027 respectievelijk 2 augustus 2028 worden de verplichtingen alsnog van toepassing.[9]
Gevolgen voor planning en prioritering
Voor jouw organisatie betekent dit dat je de planning van je AI Act compliance niet meer aan één harde datum kunt ophangen. Het moment waarop je classificaties, documentatie, technische maatregelen en contracten echt op orde moeten zijn, schuift mee met het besluit van de Commissie en de uiteindelijke uiterste toepassingsdata. Dat levert dan meer inhoudelijke houvast op omdat de eisen van de wet beter zijn ingekleurd, maar onzekerheid blijft bestaan: open normen zijn er nog steeds en toezichthouders kunnen tot verschillende interpretaties komen.[10]
Wendbaarheid
Die dynamiek van onduidelijke invulling van normen en het tijdpad daarbij, vraagt om wendbaarheid van jouw organisatie in de implementatie van de eisen van de wet. Zolang onzeker blijft of en wanneer de Commissie formeel besluit, doen organisaties er goed aan te werken met parallelle scenario’s: één waarin de Omnibusrichtlijn leidt tot uitstel van het hoog-risicoregime, en één waarin het oorspronkelijke schema grotendeels van kracht blijft. Processen, tooling en contracten moeten zó zijn ingericht dat bijsturen mogelijk blijft wanneer normen of richtsnoeren anders uitpakken dan voorzien. Het draait niet langer om klaar zijn op een vaste datum, maar om tijdig kunnen bijsturen als de kaders veranderen.
Hoe kunnen wij jou helpen?
Stap 1: inzicht in jouw AI-landschap
Eerst brengen we in kaart welke bestaande en geplande AI-toepassingen binnen jouw organisatie onder het hoog-risicokader (kunnen) vallen. Via gesprekken en documentanalyse schetsen we de belangrijkste systemen, gegevensstromen en gebruiksscenario’s. Per toepassing bepalen we of deze nu al, later of waarschijnlijk niet onder het hoog-risicoregime valt, welke verplichtingen daarbij horen en welke termijnen relevant zijn. Je krijgt een overzicht per systeem met wat minimaal moet gebeuren, waar keuzeruimte zit en welke stappen op korte termijn verstandig zijn.
Stap 2: processen en besluitvorming vastleggen
Daarna leggen we vast hoe je met AI-toepassingen omgaat. We bepalen wanneer je iets moet melden, wie beoordeelt of de AI onder de wet valt en welke informatie daarbij nodig is. Dat werken we uit in een kort stappenplan van idee tot ingebruikname, met duidelijke toetsmomenten en periodieke herbeoordeling. We sluiten aan op bestaande procedures, zodat AI goed meeloopt in de organisatie. Concreet levert dit bijvoorbeeld werkafspraken op tussen afdelingen, sjablonen voor risicoanalyses en heldere instructies voor het registreren van incidenten en afwijkingen.
Parallelle scenario’s
Stap 3 is het uitwerken van scenario’s rond het tijdpad. We helpen jouw organisatie te werken met parallelle scenario’s: één waarin Omnibus-besluiten tot uitstel leiden en één waarin het oorspronkelijke schema grotendeels van kracht blijft. Maatregelen, documentatie en contracten worden zo ingericht dat bijsturen mogelijk blijft wanneer normen of richtsnoeren anders uitvallen dan voorzien.
Conclusie
Met de Digital Omnibus verschuift de AI Act voor hoog-risicosystemen van een strak datumgedreven regime naar een model waarin verplichtingen nauw verbonden zijn met de beschikbaarheid van normen en richtsnoeren. Dat kan de uitvoerbaarheid vergroten, omdat er meer inhoudelijk houvast komt wanneer instrumenten gereed zijn. Tegelijk betekent het dat het tijdpad minder voorspelbaar wordt en organisaties langer met onzekerheid moeten omgaan.
Voor organisaties verandert de kern niet. Je wilt voldoen aan de wettelijke eisen en je wilt dat AI-toepassingen binnen jouw organisatie op een zorgvuldige en verantwoorde manier worden ingezet. Dat vraagt om overzicht, heldere rol- en procesafspraken en de mogelijkheid om bij te sturen wanneer normen of termijnen veranderen.
Lex Digitalis helpt organisaties om die structuur aan te brengen. Door de gevolgen van de Digital Omnibus te duiden, ze te vertalen naar concrete stappen en te zorgen dat processen, documentatie en besluitvorming aansluiten op de dagelijkse praktijk, wordt naleving van de AI Act een beheersbaar traject. Niet alleen op papier, maar ook in de manier waarop jouw organisatie AI daadwerkelijk gebruikt.
bronvermelding:
1 Zie COM(2025) 836 final (Digital Omnibus on AI). https://eerstekamer.nl/9370000/1/j4nvi0xeni9vr2l_j9vvkfvj6b325az/vmsmjq4l23s6/f=/vmsmjqpf33sn.pdf.
2 Verordening (EU) 2024/1689 (AI Act), PbEU 2024, L 206/1.
3 Voor het verbod, zie artikel 5 en 133 onder a AI Act;
Voor general purpose AI-modellen: hoofdstuk V, met name artikelen 53-55 en artikel 13 onder b AI Act.
4 Artikel 113 en artikel 6 lid 1 AI Act.
5 Zie COM(2025) 836 final (Digital Omnibus on AI), p. 2, overweging 22 (p. 18) en art. 1 lid 31 (p. 30). https://eerstekamer.nl/9370000/1/j4nvi0xeni9vr2l_j9vvkfvj6b325az/vmsmjq4l23s6/f=/vmsmjqpf33sn.pdf.
6 1. Geharmoniseerde normen op EU-niveau worden bijvoorbeeld ontwikkeld door CEN-CENELEC JTC 21 (de CEN en CENELEC Joint Technical Committee 21) ex artikel 10 van Verordening 1025/2012. Wanneer zo’n norm is vastgesteld en door de Commissie in het Publicatieblad is vermeld, geldt op grond van artikel 40 AI Act een vermoeden van conformiteit met de desbetreffende verplichtingen.
2. Gemeenschappelijke specificaties stelt de EC zelf op via uitvoeringshandelingen ex artikel 41 AI Act.
3. Europese richtsnoeren komen eveneens van de EC. De wettelijke basis hiervoor volgt uit artikel 96 AI Act, waarin de Commissie gemachtigd wordt om technische guidance, verklaringen en nadere richtsnoeren over de uitvoering van de verordening te publiceren.
7 Zie COM(2025) 836 final (Digital Omnibus on AI), p. 2, overweging 22 (p. 18) en art. 1 lid 31 (p. 30). https://eerstekamer.nl/9370000/1/j4nvi0xeni9vr2l_j9vvkfvj6b325az/vmsmjq4l23s6/f=/vmsmjqpf33sn.pdf.
8 Een punt van kritiek: in het Unierecht zijn het Europees Parlement en de Raad de formele wetgever. Nadere uitwerking door de Commissie via gedelegeerde of uitvoeringshandelingen is op zichzelf gebruikelijk. Bij de Omnibusrichtlijn is echter bijzonder dat materiële verplichtingen pas gaan gelden nadat de Commissie bij besluit heeft vastgesteld dat er ‘voldoende instrumenten’ voor naleving zijn. De keuze of en vanaf wanneer wettelijke verplichtingen gelden behoort normaal tot de kern van de wetgeving. Door dit afhankelijk te maken van een latere discretionaire beoordeling van de Commissie op basis van een open norm verschuift een wezenlijk deel van die beslissing naar de uitvoerende macht op Unieniveau en komt de rechtszekerheid voor organisaties onder druk te staan (Artikelen 289, 290, 291 en 297 VWEU; COM(2025) 836 final, overweging 22 en art. 1, lid 31). De Omnibusrichtlijn specificeert bovendien niet op basis van welke inhoudelijke of kwantitatieve criteria de Commissie mag concluderen dat zo een pakket ‘adequaat’ is. Het spreekt slechts over ‘adequate measures in support of compliance with Chapter III’ (Artikel 1 lid 31 Digital Omnibusvoorstel, p. 30). Verder noemt de EC als voorbeelden geharmoniseerde normen, gemeenschappelijke specificaties en richtsnoeren, zonder te bepalen hoeveel of welke daarvan beschikbaar moeten zijn, zodat de Commissie een ruime beoordelingsvrijheid behoudt over het moment waarop de verplichtingen voor hoog risico systemen daadwerkelijk gaan gelden (Overweging 22 Digital Omnibusvoorstel, p. 18).
9 Zie voetnoot 5.
10 Zoals deze bij de AVG per lidstaat ook kunnen verschillen. Zie voor de AI Act artikelen 65-66 en 70, waarin zowel nationale bevoegde autoriteiten als een European Artificial Intelligence Board worden ingericht om de “consistente en effectieve toepassing” van de verordening te bevorderen en bestuurspraktijken in de lidstaten te harmoniseren. Dit coördinatiemodel veronderstelt dat zonder afstemming uiteenlopende interpretaties kunnen ontstaan. Bij de AVG zie je precies dat patroon: één verordening, maar autoriteiten die op onderdelen toch anders uitkomen. Een heel concreet voorbeeld is “consent or pay”/cookie paywalls: de Britse ICO wijst er expliciet op dat de Deense, Estse, Spaanse, Duitse, Oostenrijkse en Franse richtsnoeren over cookie paywalls “not yet consistent with each other regarding their requirements” zijn, wat aanleiding is geweest voor de EDPB om Opinion 08/2024 over ‘consent or pay’ te publiceren.
