De EU heeft een voorlopig akkoord bereikt over het AI-deel van de digitale omnibus. De toepassing van regels voor hoogrisico-AI wordt uitgesteld, terwijl nudifier-apps en AI-systemen voor niet-consensuele intieme content expliciet worden verboden. Voor bedrijven biedt het akkoord meer tijd en minder overlap met productveiligheidsregels, maar juridisch is de tekst nog niet definitief.

Nieuw verbod op nudifier-apps en misbruik met AI

De Europese AI Act krijgt waarschijnlijk een ingrijpende bijsturing nog vóór de zwaarste verplichtingen voor hoogrisico-AI van kracht worden. Onderhandelaars van het Europees Parlement en de Raad bereikten op 7 mei 2026 een voorlopig politiek akkoord over het AI-luik van de digitale omnibus, een pakket dat Europese digitale regels eenvoudiger en werkbaarder moet maken. De kern blijft overeind: AI wordt nog altijd gereguleerd volgens risico. Maar de timing, de reikwijdte en de handhaving worden op meerdere punten aangepast.

De meest zichtbare nieuwe maatregel is een verbod op zogenoemde nudifier-apps. Het gaat om AI-systemen die zonder toestemming intieme lichaamsdelen tonen, seksueel expliciete handelingen creëren of materiaal rond seksueel misbruik van kinderen genereren. Dat verbod geldt niet alleen voor aanbieders die zulke systemen doelbewust op de markt brengen. Ook wie een AI-systeem aanbiedt zonder redelijke veiligheidsmaatregelen om dergelijk misbruik te voorkomen, kan onder het verbod vallen. De regels dekken beeld, video én audio en moeten vanaf 2 december 2026 worden nageleefd.

Hoogrisico-AI krijgt meer tijd

Tegelijk schuift de EU belangrijke compliance-deadlines op. Stand-alone hoogrisico-AI, bijvoorbeeld in biometrie, kritieke infrastructuur, onderwijs, werk, rechtshandhaving en grensbeheer, krijgt uitstel tot 2 december 2027. AI-systemen die als veiligheidscomponent in gereguleerde producten zitten, zoals medische hulpmiddelen, speelgoed, liften, machines of pleziervaartuigen, krijgen nog langer: tot 2 augustus 2028.

Daarmee wil de EU voorkomen dat bedrijven moeten voldoen aan regels waarvoor technische standaarden en praktische ondersteuning nog onvoldoende klaar zijn. Ook de transparantieplicht voor AI-content krijgt een nieuwe datum. De verplichting om AI-gegenereerde output herkenbaar of traceerbaar te maken, bijvoorbeeld via watermarking of vergelijkbare technieken, wordt vastgelegd op 2 december 2026.

Minder overlap met bestaande productregels

Een tweede grote wijziging zit in de relatie tussen de AI Act en bestaande productveiligheidswetgeving. Voor industriële producten wil de EU dubbele compliance vermijden. Als sectorale regels al vergelijkbare AI-specifieke eisen bevatten, kan de toepassing van de AI Act in die gevallen worden beperkt.

De Machinery Regulation krijgt bovendien een aparte behandeling. Machines vallen niet rechtstreeks onder overlappende AI Act-verplichtingen, maar de Commissie kan via gedelegeerde handelingen wel AI-gerelateerde gezondheids- en veiligheidseisen toevoegen aan de machinewetgeving.

De definitie van “safety component” wordt eveneens aangescherpt. AI-functies die alleen ondersteunen, optimaliseren of gebruikers helpen, worden niet automatisch als hoogrisico beschouwd wanneer een fout geen gevaar oplevert voor gezondheid of veiligheid. Tegelijk keert een registratieplicht terug voor aanbieders die menen dat hun systeem niet als hoogrisico moet worden geclassificeerd, maar zich wel in de buurt van die categorie bevindt.

Nog geen definitieve wet

Het akkoord geeft bedrijven ook ruimte om bijzondere categorieën van persoonsgegevens te verwerken wanneer dat strikt noodzakelijk is om bias op te sporen en te corrigeren, met passende waarborgen. Nationale autoriteiten krijgen bovendien tot 2 augustus 2027 om regulatory sandboxes op te zetten.

Het AI Office krijgt een sterkere rol bij toezicht op AI-systemen die gebaseerd zijn op general-purpose AI-modellen wanneer model en systeem door dezelfde aanbieder zijn ontwikkeld. Nationale toezichthouders blijven wel bevoegd in gevoelige domeinen zoals rechtshandhaving, grensbeheer, justitie en financiële instellingen.

Het akkoord is politiek zwaarwegend, maar nog geen definitieve wet. Raad en Parlement moeten de tekst nog formeel goedkeuren, waarna juridische en taalkundige revisie volgt. De instellingen mikken op afronding vóór 2 augustus 2026, de datum waarop de huidige hoogrisicoverplichtingen anders zouden starten. Voor complianceplanning is dit dus de nieuwe verwachte koers, maar juridisch telt pas de formeel aangenomen en gepubliceerde tekst.

De nieuwe tijdlijn ziet er voorlopig zo uit: