Wat betekent de Digital Omnibus voor organisaties die met AI werken? Met dit voorstel wil de Europese Commissie de AI Act op een aantal punten bijstellen en vooral de rol van de AI Office binnen de Commissie aanzienlijk uitbreiden. De AI Office, dat nu al een centrale rol heeft als expertisecentrum en coördinatiepunt voor de nationale toezichthouders op AI en de samenwerking tussen hen en de Europese Commissie, groeit uit tot een instantie die op EU-niveau rechtstreeks toezicht houdt op bepaalde AI-systemen, in het bijzonder systemen op basis van general purpose AI-modellen en AI binnen zeer grote online platformen en zoekmachines.
Voor organisaties betekent dit dat het gewicht van Europese besluiten van de AI Office directer voelbaar wordt in de dagelijkse praktijk. Richtsnoeren en besluiten van de AI Office gaan zwaarder meewegen in de beoordeling van modellen en systemen, en één besluit in Brussel kan doorwerken in alle lidstaten waar een systeem wordt ingezet. Dat maakt het nodig om governance, interne verantwoordelijkheden en contracten expliciet te richten op dit sterkere Europese toezicht, naast nationale lijnen zoals aanwijzingen van toezichthouders, sectorale richtsnoeren en nationale implementatiewetgeving. Wij ondersteunen organisaties daarbij praktisch, zodat zij niet alleen een audit zouden kunnen doorstaan, maar vooral AI toepassingen verantwoord kunnen inzetten.
Update van het Europese digitale kader
In eerdere artikelen bespraken wij hoe de Europese Commissie zoekt naar een balans tussen bescherming en werkbaarheid, hoe het tijdpad voor hoog-risicoregime daarbij centraal staat en wat de herziening van de AI-geletterdheidseis vraagt van organisaties die met AI werken, en hoe de EU AI-database mogelijk verandert van breed overzicht naar selectiever register.
In dit vierde artikel komt de rol van de AI Office en de beweging naar centraler toezicht aan de orde. Eerst laten we zien hoe de taken en bevoegdheden van de AI Office onder de het Digital Omnibusvoorstel zouden veranderen. Daarna laten we zien hoe dat in de praktijk uitwerkt voor aanbieders en gebruikers van AI systemen, en hoe Lex Digitalis organisaties helpt om beleid, contracten en interne governance zo in te richten dat zij aansluiten op dit versterkte Europese toezichtskader.
De AI Office onder de huidige AI Act
Drie rollen AI Office
De AI Act geeft de Europese Commissie, handelend via de AI Office, grofweg drie kernrollen: als centrum van AI expertise, als coördinator van de nationale toezichthouders op AI en als Europese toezichthouder voor providers van general purpose AI modellen, in het bijzonder modellen met systemisch risico.[1][2] Lidstaten moeten daarvoor bevoegde autoriteiten en een single point of contact aanwijzen, die het eerste aanspreekpunt blijven voor de meeste AI systemen.[3]
Toezicht op GPAI aanbieders
Voor aanbieders van General Purpose AI (GPAI) modellen ligt het toezicht nu al vooral in Brussel. De verplichtingen uit hoofdstuk V worden exclusief door de Commissie gehandhaafd, met de AI Office als uitvoerende orgaan.[4] Grote AI-modelaanbieders hebben in de praktijk dus in eerste instantie met één Europese toezichthouder te maken.
Markttoezicht en samenwerking
Daarnaast heeft de AI Office marktoezichtsbevoegdheden voor AI systemen die zijn gebaseerd op een eigen GPAI model. Zij kan beoordelen of die systemen aan de AI Act voldoen. Ook kan de AI Office, in samenwerking met nationale markttoezichtautoriteiten, informatie opvragen die nationale toezichthouders afzonderlijk niet of moeilijk uit de markt krijgen.[5][6] Voor de meeste andere AI systemen blijft het toezicht bij nationale autoriteiten, maar wel met een duidelijke coördinerende rol voor de AI Office.[7]
Wat aan de rol van de AI Office zou veranderenUitbreiding bevoegdheid GPAI-systemen
Het Digitale Omnibusvoorstel scherpt artikel 75 AI Act aan, zodat de AI Office niet alleen kan handhaven op het juiste en verantwoorde gebruik van GPAI-modellen, maar ook op de rechtmatige en verantwoorde inzet van AI-systemen die zijn gebaseerd op een GPAI-model van dezelfde aanbieder.[8] Systemen onder sectorspecifieke productwetgeving uit Annex I blijven buiten dit centrale regime.[9]
AI-toezicht op platforms
Daarnaast krijgt de AI Office toezicht op AI systemen die kwalificeren als of zijn ingebed in very large online platforms en very large online search engines als bedoeld onder de Digital Services Act.[10][11] De Commissie wordt, met de AI Office als uitvoeringsorgaan, markttoezichtautoriteit onder de AI Act.
Nieuwe instrumenten en sandbox
Het voorstel breidt ook de instrumenten van de AI Office uit. Voor de systemen die onder haar centrale toetsingsbevoegdheid vallen, kan zij technische documentatie, datasets en waar nodig broncode opvragen, toezicht houden op testen in de praktijk, incidenten beoordelen en sancties opleggen.[12] Daarnaast wordt er een EU brede AI regulatory sandbox ingericht bij de AI Office, naast nationale sandboxes, die rond 2028 operationeel wordt.[13]
Gevolgen voor organisaties die met AI werken
Toezicht op model en systeem
Voor aanbieders die zowel een eigen GPAI model leveren als AI systemen op dat model bouwen, betekent het Digital Omnibusvoorstel dat hun modellen én systemen onder direct toezicht van de AI Office vallen.[14] Eén besluit over model en systeem kan zo in alle lidstaten tegelijk doorwerken, bijvoorbeeld via extra eisen aan documentatie, risicobeheer, logging of corrigerende maatregelen.[15]
Extra toezicht voor platforms
Voor aanbieders en exploitanten van AI functionaliteit binnen zeer grote online platforms en zoekmachines wordt de AI Office het centrale punt voor AI toezicht, bovenop de bestaande DSA verplichtingen en de onafhankelijke audits die deze diensten op grond van de Digital Services Act moeten laten uitvoeren.[16] De onder de DSA vereiste risicoanalyses en mitigatiemaatregelen vormen het startpunt, waarna de AI Office ex post kan onderzoeken of de AI Act wordt nageleefd en zo nodig maatregelen opleggen.[10] Voor betrokkenen betekent dit dat veel bescherming pas in beeld komt nadat risico’s of incidenten zichtbaar zijn geworden.
Hoog-risico verplichtingen als basis
Voor andere aanbieders en gebruikers van AI systemen blijft het formele toezicht primair bij nationale autoriteiten, maar de invloed van de AI Office neemt in de praktijk duidelijk toe. De AI Act verplicht aanbieders en gebruikers van hoogrisico AI systemen tot een risicomanagementsysteem over de hele levenscyclus, eisen aan de kwaliteit van de gebruikte gegevens, uitgebreide technische documentatie en logs, passende menselijke toezichtmechanismen en eisen aan robuustheid en cyberveiligheid. Daarnaast legt de wet verplichtingen op aan deployers, importeurs, distributeurs en andere partijen in de supply chain.[18] Ook waar geen direct Brussels toezicht geldt, blijft dit het referentiekader waar nationale autoriteiten hun beoordeling op baseren.
GPAI praktijk als norm
De norm wordt daarbij steeds meer bepaald door de Europese lijn rond GPAI. Grote GPAI aanbieders stemmen hun technische keuzes, documentatiepakketten en contractvoorwaarden af op wat bij de AI Office als toereikend wordt gezien. Die lijn werkt vervolgens door in modeldocumentatie, standaardcontracten, servicevoorwaarden en auditpakketten die worden aangeboden aan afnemers van deze modellen. Organisaties die deze technologieën inkopen of daarop bouwen, krijgen de Europese eisen zo indirect contractueel opgelegd, zelfs wanneer zij in de dagelijkse praktijk vooral met een nationale toezichthouder te maken hebben.[19]
Governance spiegelen aan Brussel
Nationale toezichthouders en auditors zullen bij hun beoordeling van risicobeoordelingen, logging en verantwoording steeds vaker aansluiten bij deze Europese interpretaties. In onderzoeken, toezichtvragen en audits wordt dan gekeken of beleid, technische keuzes en documentatie logisch aansluiten op de verwachtingen die uit richtsnoeren en besluiten van de AI Office naar voren komen. Voor organisaties betekent dit dat zij hun governance, interne verantwoordelijkheden en contracten niet alleen moeten afstemmen op de letter van de AI Act, maar ook op de zich ontwikkelende Europese praktijk. Wie die vertaalslag vroegtijdig en doordacht maakt, is beter voorbereid op vragen van zowel nationale toezichthouders als grote GPAI aanbieders, klanten en andere partijen in de supply chain.[20]
Gevolgen voor individuenVoor individuen en groepen mensen zijn deze verschuivingen vooral merkbaar in hoe besluiten over werk, inkomen, zorg, handhaving en toegang tot digitale diensten tot stand komen. Steeds meer keuzes over hoe AI wordt ontworpen, gedocumenteerd en gecontroleerd, worden op Europees niveau gemaakt en werken via modellen, platformen en contracten door in nationale praktijken die voor betrokkenen zelf weinig transparant zijn. Fouten, bias of gebrekkig risicobeheer kunnen hen wel direct raken, terwijl het lastig is om te zien welk systeem waarvoor verantwoordelijk is en waar je terechtkunt voor correctie. Dat maakt het des te belangrijker dat organisaties de Europese lijn rond de AI Office niet alleen formeel volgen, maar die actief vertalen naar begrijpelijke uitleg, reële mogelijkheden tot correctie en een zorgvuldige omgang met grondrechten. In de volgende paragraaf laten we zien hoe Lex Digitalis organisaties helpt om die verantwoordelijkheid concreet in te vullen.
Hoe Lex Digitalis kan helpen
Van nationaal naar Europees
De verschuiving naar centraler toezicht vraagt om organisaties die hun beleid, contracten en interne governance bewust spiegelen aan het Europese toetsingskader. Lex Digitalis helpt om die vertaalslag pragmatisch te maken.
Stap 1: rollen bepalen
In de eerste stap helpt Lex Digitalis organisaties om scherp te bepalen welke rol zij onder de AI Act vervullen voor elk relevant AI-systeem. De AI Act maakt onderscheid tussen onder meer aanbieders, gebruiksverantwoordelijken, importeurs en distributeurs van hoog-risico AI-systemen en tussen aanbieders van GPAI-modellen en andere actoren in de waardeketen.[21] In veel organisaties lopen die rollen door elkaar, zeker waar men eigen AI-oplossingen bouwt op een extern GPAI-model of AI-functionaliteit inkoop via grote platformen. Een heldere mapping van rollen, verantwoordelijkheden en onderlinge contractuele verhoudingen is de basis voor elke verdere compliance stap.
Stap 2: governance en contracten
In de tweede stap vertaalt Lex Digitalis de wettelijke eisen en de zich ontwikkelende lijn van de AI Office naar concrete governance en contractuele eisen. Dat begint bij de kernverplichtingen uit de AI Act, zoals een risicomanagementsysteem, technische en gebruiksdocumentatie, logging en menselijke toezichtmechanismen voor hoogrisico systemen, en eindigt bij transparantie, post market monitoring en melding van ernstige incidenten. De wijzigingen uit het Digital Omnibusvoorstel, waaronder de rol van de AI Office bij GPAI gebaseerde systemen, de EU brede sandbox en de aangepaste termijnen voor inwerkingtreding, worden daarbij meteen meegenomen zodat governance en contracten toekomstbestendig zijn.[22]
Stap 3: praktisch kader
In de derde stap helpt Lex Digitalis bij het inrichten van een praktisch governancekader waarin interne documentatie, contracten en externe verantwoording op elkaar aansluiten. Dat betekent onder meer dat risicobeoordelingen (FRIA’s), technische documentatie en interne controleprocessen zo worden ingericht dat zij logisch aansluiten op de informatieverzoeken en toezichtsinstrumenten waarover de AI Office en nationale autoriteiten beschikken, inclusief de mogelijkheid dat de AI Office rechtstreeks aanvullende informatie over GPAI modellen en daarop gebaseerde systemen opvraagt. Inkoopdocumenten, contracten met technologieleveranciers en interne beleidsstukken worden zo vormgegeven dat zij rekening houden met de waardeketenverantwoordelijkheid uit de AI Act en met de centralere rol van de AI Office bij grensoverschrijdende situaties.[23]
Conclusie
Zwaardere rol AI Office
Het Digital Omnibusvoorstel wijzigt niet zozeer wat er inhoudelijk van AI-systemen wordt verlangd, maar vooral wie daar in de praktijk toezicht op houdt en hoe snel besluiten doorwerken in de markt. De rol van de AI Office wordt zwaarder. Eén besluit op EU-niveau kan direct effect hebben in meerdere lidstaten, zeker voor GPAI-modellen, daarop gebaseerde systemen en AI binnen grote platforms.
Actief volgen van Brussel
Voor organisaties betekent dit dat de aandacht verschuift van het volgen van uitsluitend nationale lijnen naar het actief volgen van ontwikkelingen bij de AI Office en het daarop afstemmen van governance, contracten en documentatie. Wie die vertaalslag nu al maakt, voorkomt dat Europese besluiten later als verrassing binnenkomen bij audit of toezicht.
Samenhang in AI verplichtingen
In samenhang met de eerdere artikelen in deze reeks ontstaat zo een compleet beeld. De fasering en het tijdpad van de AI Act bepalen wanneer verplichtingen ingaan. De AI geletterdheidseis bepaalt wat medewerkers minimaal moeten kunnen begrijpen en doen. De krimp van de AI-database legt meer nadruk op interne documentatie in plaats van publieke transparantie. De groei van de AI Office verschuift het zwaartepunt van toezicht naar Brussel. Lex Digitalis helpt organisaties om die lijnen bij elkaar te brengen en om van een complex Europees kader een werkbare praktijk te maken waarbinnen je zorgvuldig en aantoonbaar verantwoord met AI kunt werken.
Bronvermelding:
1 Art. 64 AI Act, waarin de oprichting en rol van de AI Office als EU-kenniscentrum voor AI wordt neergelegd. Zie ook de geconsolideerde tekst op artificialintelligenceact.eu.
2 Art. 64 lid 2 AI Act, dat de coördinerende rol van de AI Office richting nationale autoriteiten beschrijft, inclusief het opbouwen van Uniebrede expertise en capaciteit.
3 Art. 70 AI Act, over aanwijzing van nationale bevoegde autoriteiten en een enkel aanspreekpunt voor de toepassing en handhaving van de AI Act in de lidstaten.
4 Art. 51 tot en met 55 en art. 88 AI Act, over aanbieders van GPAI-modellen, hun verplichtingen en de exclusieve handhaving door de Europese Commissie, uitgevoerd via de AI Office.
5 Art. 75 lid 1 AI Act, dat de AI Office marktoezichtsbevoegdheden geeft voor AI systemen die zijn gebaseerd op een GPAI model van dezelfde aanbieder.
6 Art. 75 leden 2 en 3 AI Act, over samenwerking tussen nationale markttoezichtautoriteiten en de AI Office bij vermoedens van niet-naleving en bij informatieverzoeken.
7 Art. 70 en art. 72 tot en met 74 AI Act, over de rol van nationale autoriteiten bij markttoezicht, onderzoeken, correctieve maatregelen en post market monitoring.
8 Digital Omnibusvoorstel, art. 1, paragraaf 25, onderdeel b, dat art. 75 AI Act wijzigt en de centrale bevoegdheid van de AI Office voor bepaalde GPAI gebaseerde systemen uitbreidt. Zie de toelichtende stukken bij de Eerste Kamer.
9 Idem, toelichting bij art. 1, paragraaf 25, waarin wordt verduidelijkt dat producten onder sectorspecifieke EU-harmonisatiewetgeving in Annex I van de AI Act buiten deze centrale bevoegdheid vallen.
10 Digital Omnibusvoorstel, relevante overwegingen waarin is vastgelegd dat de Commissie, via de AI Office, als markttoezichtautoriteit optreedt voor AI systemen die kwalificeren als of zijn ingebed in aangewezen very large online platforms en very large online search engines in de zin van de Digital Services Act.
11 Digital Omnibusvoorstel, art. 1, paragraaf 25, waarin de bevoegdheden van de AI Office als markttoezichtautoriteit worden gekoppeld aan de bestaande handhavingsstructuur van de DSA voor VLOP’s en VLOSE’s.
12 Digital Omnibusvoorstel, art. 1, paragraaf 25, onderdeel c, en de bijbehorende toelichting, over extra handhavingsinstrumenten voor de AI Office, waaronder toegang tot documentatie, datasets en broncode en het kunnen opleggen van corrigerende maatregelen en sancties.
13 Digital Omnibusvoorstel, art. 1, paragraaf 17, waarmee art. 57 AI Act wordt gewijzigd, en de toelichting waarin een EU brede AI regulatory sandbox bij de AI Office wordt aangekondigd, naar verwachting operationeel rond 2028.
Noot van kritiek: In dit model ontstaat al snel een omgekeerde prikkel. Zodra in de sandbox duidelijk wordt dat een systeem tekortschiet, is uitrol in die vorm tegenover de AI Office niet meer verdedigbaar. Dat is vanuit bescherming terecht, maar maakt het voor organisaties aantrekkelijker om juist níet in de sandbox te testen, waardoor de beoogde bijdrage aan verantwoorde innovatie in de praktijk beperkt kan blijven.
14 Art. 51 tot en met 55 en 88 AI Act in combinatie met de voorgestelde wijziging van art. 75 AI Act in het Digital Omnibusvoorstel, waarmee GPAI model en daarop gebaseerd systeem bij dezelfde aanbieder onder één Europees toezichtregime worden gebracht.
15 Art. 11, 19, 20 en 72 tot en met 75 AI Act, over technische documentatie, logging, correctieve maatregelen en post market monitoring, toegepast binnen het door de AI Office gecoördineerde markttoezicht.
16 Digital Omnibusvoorstel, overwegingen over de bevoegdheid van de Commissie als markttoezichtautoriteit voor AI systemen in of als very large online platforms of search engines en de verhouding tot de verplichtingen onder de DSA.
17 Digital Omnibusvoorstel, overwegingen waarin wordt bepaald dat de risicoanalyses, mitigatiemaatregelen en onafhankelijke audits onder de DSA het startpunt vormen, zonder afbreuk te doen aan de ex post onderzoeks en handhavingsbevoegdheden van de AI Office onder de AI Act.
18 Art. 9 tot en met 15, 16 tot en met 27 en 72 tot en met 74 AI Act, over risicomanagement, gegevenskwaliteit, documentatie, menselijke toezichtmechanismen, logging, verplichtingen van aanbieders, deployers en andere actoren en post market monitoring.
19 Art. 11, 19, 20, 25 en 53 AI Act in samenhang met art. 72 tot en met 75 AI Act, over documentatie, logging, waardeketenverantwoordelijkheid en informatieverplichtingen richting downstream partijen, die de basis vormen voor de documentatie- en contractstandaarden van grote GPAI aanbieders.
20 Art. 72 tot en met 75 en 88 tot en met 93 AI Act, over informatieverzoeken, compliance evaluaties, onderzoeken en andere toezichtsinstrumenten van de AI Office en nationale markttoezichtautoriteiten.
21 Art. 3 en 16 tot en met 27 AI Act, waarin de definities en verplichtingen voor onder meer providers, deployers, importeurs en distributeurs zijn opgenomen, en art. 51 tot en met 55 voor GPAI aanbieders.
22 Art. 9 tot en met 15, 16 tot en met 20, 25 tot en met 27, 72 en 73 AI Act over risicomanagement, technische documentatie, menselijke toezichtmechanismen, waardeketenverantwoordelijkheid, post market monitoring en melding van ernstige incidenten, in combinatie met het Digital Omnibusvoorstel, art. 1, onder meer paragrafen 4, 6, 14, 17, 25 en 31, over AI geletterdheid, registratieverplichtingen, de EU sandbox, centralisering van toezicht en aangepaste termijnen.
23 Art. 25 AI Act over verantwoordelijkheden langs de AI waardeketen, art. 53 AI Act over informatieverstrekking door GPAI aanbieders aan downstream partijen, en de Digital Omnibuswijzigingen die de centrale rol van de AI Office bij grensoverschrijdende situaties benadrukken.