Stemuitslag 19 maart 2026: De IMCO- en LIBE-commissies van het Europees Parlement stemden gezamenlijk voor hun standpunt over de AI Act Omnibus-vereenvoudiging: 101 voor, 9 tegen, 8 onthoudingen. De plenaire stemming in het volledige Parlement staat gepland voor 26 maart 2026. Daarna beginnen de onderhandelingen met de Raad.
De afgelopen maanden leefden veel compliance-teams met een duidelijke deadline in het achterhoofd: 2 augustus 2026. Dat was het moment waarop de regels voor hoog-risico AI-systemen uit Bijlage III van de AI Act zouden ingaan. Op 19 maart 2026 stemden de IMCO- en LIBE-commissies van het Europees Parlement echter voor een positie die die datum aanzienlijk naar achteren schuift. Begrijpelijk dat organisaties nu de vraag stellen: mogen we op de pauzeknop drukken?
Het korte antwoord is nee. Maar de nuance is wel degelijk relevant voor hoe u uw prioriteiten de komende anderhalf jaar indeelt.
Wat er precies is gestemd
De commissies hebben een positie aangenomen die twee afzonderlijke uitsteltermijnen introduceert voor hoog-risico AI.
De eerste categorie betreft de systemen die in Bijlage III van de AI Act worden opgesomd: biometrische identificatie, kritieke infrastructuur, onderwijs, arbeidsmarkt, essentiële diensten, rechtshandhaving, rechtsbedeling en grensbeheer. De verplichtingen voor deze systemen verschuiven van 2 augustus 2026 naar 2 december 2027, een verlenging van ruim zestien maanden.
De tweede categorie is voor AI-systemen die al worden gereguleerd door sectorale EU-veiligheidswetgeving, zoals medische hulpmiddelen, radioapparatuur en speelgoed. Die krijgen nog meer tijd: tot 2 augustus 2028. De redenering is dat bedrijven die al moeten voldoen aan strenge sectorale regimes niet tegelijk ook alle AI Act-verplichtingen volledig hoeven te implementeren. De AI Act-verplichtingen kunnen bovendien minder zwaar zijn voor producten die al uitvoerig worden gereguleerd door die sectorale wetgeving.
Co-rapporteur Arba Kokalari (EVP, Zweden) verwoordde het als volgt: organisaties hebben nu behoefte aan duidelijkheid over de vraag of zij hoog-risico zijn of niet. Dat is inderdaad de kern van het probleem. De vertraging is deels het gevolg van het feit dat de Commissie zijn richtlijnen voor hoog-risicoclassificatie pas laat heeft gepubliceerd, waardoor bedrijven al maanden werken met onvolledige informatie.
Welke regels gelden nu al wel
Het is cruciaal om te begrijpen wat dit uitstel niet raakt. Twee categorieën verplichtingen zijn al van kracht en worden door de Omnibus-stemming niet uitgesteld.
Artikel 4 van de AI Act, de AI-geletterdheidsplicht, gold al vanaf 2 februari 2025. Organisaties die AI-systemen aanbieden of gebruiken zijn nu al verplicht om te zorgen dat hun personeel beschikt over voldoende kennis, vaardigheden en begrip van AI om de systemen verantwoord in te zetten. Dat is geen papieren verplichting: toezichthouders kunnen hier al op handhaven.
Artikel 5, de verbodsbepalingen, geldt eveneens al. Systemen die onacceptabele risico's vormen zijn verboden: manipulatieve technieken die gebruikmaken van kwetsbaarheden van personen, sociale scoresystemen door overheden, realtime biometrische identificatie op afstand in openbare ruimten met beperkte uitzonderingen, en systemen voor cognitieve gedragsmanipulatie. De Omnibus voegt hier een nieuw verbod aan toe: zogenoemde 'nudifier'-apps, waarmee via AI seksueel expliciete beelden worden gecreeerd of gemanipuleerd van identificeerbare personen zonder hun toestemming. Het Parlement heeft hiervoor een expliciete uitzondering opgenomen voor systemen die over effectieve veiligheidsmaatregelen beschikken die dit soort beelden voorkomen, maar de basisregel is helder: dergelijke toepassingen zijn verboden.
Co-rapporteur Michael McNamara (Renew, Ierland) noemde dit uitdrukkelijk als een compromispunt dat voor hem van belang was om een meerderheid te kunnen bereiken.
Wie is wanneer geraakt
De twee nieuwe data zijn niet voor iedereen gelijk relevant, en het is de moeite waard om te begrijpen welk schema voor uw organisatie geldt.
Als u een AI-systeem aanbiedt of inzet dat valt onder een van de toepassingsgebieden van Bijlage III, zoals een systeem voor het selecteren van sollicitanten, een kredietbeoordelingssysteem of een systeem dat wordt gebruikt in de gezondheidszorg, dan is de nieuwe deadline voor u 2 december 2027. Dat is de datum waarop de volledige hoog-risicoregels, inclusief risicobeheer, technische documentatie, logging, transparantie en menselijk toezicht, volledig van kracht worden.
Als uw systeem echter valt onder een bestaand sectoraal regime van de EU, denk aan de MDR voor medische hulpmiddelen of de RED voor radioapparatuur, dan is uw datum 2 augustus 2028. En de AI Act-verplichtingen mogen in uw geval minder ver gaan dan voor andere hoog-risicosystemen, omdat de sectorale wetgeving al veel waarborgen biedt.
Voor organisaties in beide categorieën geldt dat de uitsteltermijn geen vrijbrief is om documentatie en risicobeheer pas in 2027 of 2028 op te pakken. De aanbeveling van toezichthouders is consistent: wie nu al investeert in interne governance, risicobeoordelingen en technische documentatie, staat straks in een veel betere positie dan wie alles op het laatste moment regelt.
Watermarking: minder tijd dan de Commissie wilde
Een ander element van de Omnibus-stemming verdient aandacht, juist voor organisaties die AI-gegenereerde content produceren. De verplichte labeling van AI-content, ook wel watermarking of synthetische contentmarkering genoemd, wordt eveneens aangepast.
De Europese Commissie had voorgesteld om aanbieders tot 2 februari 2027 de tijd te geven. Het Parlement kiest voor een kortere termijn: 2 november 2026. Dat is dus een datum die eerder ligt dan oorspronkelijk door de Commissie bedoeld. Voor organisaties die content genereren via AI en die content openbaar publiceren, is dit een punt dat specifieke aandacht verdient, ook al is het een aanpassing ten opzichte van de al bestaande verplichting, niet een nieuw verbod.
Verwerking van persoonsgegevens voor biascorrectie
De Omnibus introduceert ook een nieuwe expliciete grondslag voor aanbieders van AI-systemen: zij mogen persoonsgegevens verwerken om discriminerende vooringenomenheid in hun systemen te detecteren en te corrigeren. Dat klinkt logisch, maar was juridisch tot dusver een grijs gebied, zeker als het gaat om bijzondere categorieeen persoonsgegevens. De Omnibus stelt hiervoor wel strenge waarborgen, maar de principiele toestemming is er.
Voor teams die verantwoordelijk zijn voor zowel AI-governance als gegevensbescherming is dit een relevante opening: het wordt gemakkelijker om bias-audits te organiseren zonder telkens te stuiten op een gebrek aan rechtmatige grondslag.
Wat nu concreet te doen
De stemming van 19 maart is een commissiepositie, geen vastgesteld recht. Het Parlement stemt plenair op 26 maart, en daarna beginnen de trialoogonderhandelingen met de Raad van de EU. De uiteindelijke tekst kan dus nog wijzigen. De richting is echter duidelijk, en voor praktische planningsdoeleinden zijn de nu bekende data het meest realistische uitgangspunt.
Voor organisaties die zich voorbereidden op augustus 2026 betekent dit concreet het volgende. Stop niet met voorbereiden. De classificatievraag, of uw systeem hoog-risico is, staat nog steeds op de agenda en wordt niet later een eenvoudigere vraag. Hoe eerder u die vraag beantwoordt, hoe beter u weet welke investeringen werkelijk noodzakelijk zijn.
Gebruik de extra tijd om grondiger te werken, niet om later te beginnen. Organisaties die nu hun risicobeheer, technische documentatie en interne processen opbouwen, hebben straks meer tijd om die te testen, aan te passen en te borgen. Wie in november 2027 begint, heeft die ruimte niet.
Houd de wetsgeschiedenis bij. De trialoog met de Raad kan leiden tot bijstellingen van de precieze data, de scope van uitzonderingen en de formulering van verplichtingen. Volg de ontwikkelingen actief, zodat u niet verrast wordt door een definitieve tekst die afwijkt van de commissiepositie van maart.
En ten slotte: de verbodsbepalingen en de geletterdheidsplicht gelden al. Als uw organisatie daar nog niet volledig aan voldoet, is dat de meest urgente actie, ongeacht wat er met de Omnibus gebeurt.