Op 19 november 2025 publiceerde de Europese Commissie het Digital Omnibus on AI-voorstel — een pakket dat de AI Act moet "vereenvoudigen" en "proportioneler" maken. Nog geen vijftien maanden na inwerkingtreding van de AI Act wil de Commissie de wet al op meerdere punten aanpassen. Het voorstel raakt aan AI-geletterdheid, registratieverplichtingen, deadlines voor hoog-risico systemen en de verwerking van bijzondere persoonsgegevens. Dit artikel geeft een volledig overzicht: van de politieke achtergrond tot de concrete wijzigingen, de belangrijkste reacties, en wat dit betekent voor organisaties die nu bezig zijn met AI Act-compliance.
De politieke achtergrond: waarom nu al?
De inkt van de AI Act was amper droog toen de eerste barsten zichtbaar werden. Niet in de wet zelf, maar in het politieke landschap eromheen.
In september 2024 presenteerde Mario Draghi zijn inmiddels beroemde rapport over Europees concurrentievermogen. De boodschap was genadeloos: de EU valt steeds verder achter bij de VS en China, met name in geavanceerde technologieën. Regelgeving werd door meer dan 60% van Europese bedrijven als obstakel voor investering ervaren, en 55% van het MKB noemde regeldruk hun grootste uitdaging. Het Draghi-rapport werd het intellectuele fundament voor een bredere dereguleringsagenda.
Tegelijkertijd lanceerden grote techbedrijven — Meta, Amazon, Apple en anderen — een agressieve lobbycampagne. Hun boodschap: de AI Act "bedreigt innovatie" en is "te duur" om na te leven. De Trump-administratie voegde er externe druk aan toe via het Amerikaanse AI Action Plan, dat expliciet opriep tot het verwijderen van "red tape" en de EU onder druk zette om digitale regels te versoepelen.
💡 Kernpunt Het Digital Omnibus-voorstel is niet geboren uit technische noodzaak, maar uit politieke druk. Het Draghi-rapport, industrielobby en geopolitieke spanningen creëerden een perfecte storm voor deregulering — nog vóórdat de meeste AI Act-verplichtingen überhaupt van kracht waren geworden.
Intern liep het ook niet soepel. De aanwijzing van nationale toezichthouders verliep traag, de ontwikkeling van geharmoniseerde standaarden door CEN-CENELEC bleef achter, en bedrijven klaagden dat ze moesten voldoen aan regels waarvoor de praktische handvatten nog ontbraken. Dat laatste punt — het ontbreken van standaarden — was een legitiem probleem. Maar de Commissie greep het aan als hefboom voor iets veel breder dan alleen een deadlineverlenging.
Het voorstel: wat staat er op papier?
Op 19 november 2025 presenteerde de Commissie haar Digital Omnibus-pakket als onderdeel van een breder Digital Package, samen met de Data Union Strategy en European Business Wallets. Het pakket bestaat uit twee wetsvoorstellen: een algemene Digital Omnibus (die onder andere de AVG, ePrivacy-richtlijn en NIS2 wijzigt) en een specifieke Digital Omnibus on AI die de AI Act amendeert.
Het ambitieniveau is fors: de Commissie wil de administratieve lasten voor bedrijven met minstens 25% verlagen, en voor het MKB zelfs met 35%, tegen het eind van 2029. De verwachte besparing: minimaal zes miljard euro.
Maar de duivel zit, zoals altijd, in de details. Hieronder de belangrijkste wijzigingen op een rij:
1. AI-geletterdheid: van verplichting naar aanmoediging (Artikel 4)
De huidige AI Act verplicht álle aanbieders en gebruikers van AI-systemen om te zorgen dat hun personeel voldoende AI-geletterd is. Die verplichting gold al sinds 2 februari 2025. Het Omnibus-voorstel schrapt deze verplichting en verschuift de verantwoordelijkheid naar de Commissie en lidstaten, die aanbieders en gebruikers moeten "aanmoedigen" om maatregelen te nemen.
Concreet betekent dit: van een harde, handhaafbare plicht wordt AI-geletterdheid een soort beleidsaanbeveling. Training voor gebruikers van hoog-risico AI-systemen blijft wél verplicht, maar de brede basis valt weg.
2. Registratieplicht geschrapt (Artikel 49)
Onder de huidige wet moeten aanbieders van AI-systemen die onder Bijlage III vallen — ook als zij concluderen dat hun systeem niet hoog-risico is (via het Artikel 6(3)-mechanisme) — zich tóch registreren in de EU-database. Het Omnibus-voorstel schrapt Artikel 49(2) volledig.
Aanbieders hoeven hun zelfbeoordeling alleen nog te documenteren en beschikbaar te houden voor toezichthouders. Publieke registratie, en daarmee publieke controleerbaarheid, verdwijnt.
3. Uitstel transparantieverplichtingen (Artikel 50(2))
AI-systemen die synthetische audio, afbeeldingen, video of tekst genereren, moeten hun output machineleesbaar markeren — denk aan watermerken of metadata. Het Omnibus-voorstel geeft systemen die vóór 2 augustus 2026 op de markt zijn gebracht zes maanden extra tijd, tot 2 februari 2027.
4. Verwerking bijzondere persoonsgegevens uitgebreid (nieuw Artikel 4a)
De huidige AI Act staat het gebruik van bijzondere persoonsgegevens (zoals etniciteit of gezondheidsdata) toe voor bias-detectie in hoog-risico AI-systemen, mits "strikt noodzakelijk." Het Omnibus-voorstel breidt dit uit naar alle AI-systemen en verlaagt de drempel van "strikt noodzakelijk" naar "noodzakelijk."
5. Uitgestelde deadlines voor hoog-risico AI (Artikel 113)
Dit is misschien de meest ingrijpende wijziging. De verplichtingen voor hoog-risico AI-systemen worden gekoppeld aan de beschikbaarheid van geharmoniseerde standaarden en andere compliance-instrumenten:
| Type hoog-risico AI | Huidige deadline | Omnibus-voorstel | Uiterste datum |
|---|---|---|---|
| Bijlage III-systemen | 2 augustus 2026 | 6 maanden na bevestiging beschikbaarheid standaarden | Uiterlijk 2 december 2027 (+16 maanden) |
| Bijlage I-systemen (gereguleerde producten) | 2 augustus 2027 | 12 maanden na bevestiging beschikbaarheid standaarden | Uiterlijk 2 augustus 2028 (+12 maanden) |
| Transparantie AI-content (Art. 50(2)) | 2 augustus 2026 | Uitstel voor pre-aug-2026-systemen | 2 februari 2027 (+6 maanden) |
6. Conformiteitsbeoordeling: sectorwetgeving gaat voor (Artikel 43)
Bij producten die zowel onder sectorale wetgeving (zoals medische hulpmiddelen) als onder de AI Act vallen, moet de aanbieder voortaan de conformiteitsbeoordelingsprocedure van de sectorale wetgeving volgen. De AI Act-eisen worden daarin geïntegreerd, in plaats van twee parallelle beoordelingen.
7. Centralisering toezicht bij het AI Office
Het toezicht op AI-systemen gebaseerd op general-purpose AI-modellen (waar dezelfde aanbieder zowel model als systeem ontwikkelt) en systemen geïntegreerd in zeer grote online platforms (VLOPs/VLOSEs) wordt gecentraliseerd bij het AI Office van de Commissie.
8. Uitbreiding regelingen voor MKB en small mid-caps
Vereenvoudigde compliance-procedures die eerder alleen voor micro-ondernemingen golden, worden uitgebreid naar alle MKB-bedrijven en small mid-cap ondernemingen (SMC's). Dit omvat onder andere vereenvoudigde technische documentatie en proportionele sancties.
⚖️ Wat niet is aangepakt Het voorstel laat opvallend veel ongeadresseerd. Morrison & Foerster noemt onder andere: de onduidelijke definitie van "aanbieder" (Art. 3(3)), de overlapping tussen de fundamentele-rechtentoets (Art. 27) en de DPIA onder de AVG, de te krappe onderzoeksuitzondering (Art. 2(8)), en het gebrek aan een echte conformiteitsgarantie voor AI-sandboxen. Ook het risico op nationale koppen via Artikel 82 wordt niet weggenomen.
De reacties: drie kampen
Het EDPB en EDPS: "steun, mits..."
Op 20 januari 2026 publiceerden het European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) hun Joint Opinion 1/2026. De toon is diplomatiek maar stevig. Ze steunen het doel van vereenvoudiging, maar plaatsen bij vrijwel elke concrete maatregel kanttekeningen:
AI-geletterdheid: De toezichthouders zijn "sterk tegen" het omzetten van de verplichte AI-geletterdheid in een zachte aanmoediging. AI-geletterdheid is cruciaal voor het begrijpen van AI-concepten, ethisch en maatschappelijk bewustzijn, en de bescherming van grondrechten. Nieuwe verplichtingen voor de Commissie moeten bestaande verplichtingen aanvullen, niet vervangen.
Registratie: Het EDPB en EDPS adviseren tegen het schrappen van de registratieplicht. De wijziging zou de verantwoordingsplicht van aanbieders "significant ondermijnen" en een onwenselijke prikkel creëren om de hoog-risico-classificatie te ontlopen. De verwachte besparingen zijn marginaal en rechtvaardigen het verlies aan transparantie niet.
Bijzondere persoonsgegevens: Ze erkennen het belang van bias-detectie, maar dringen aan op herstel van de "strikt noodzakelijk"-drempel en duidelijke afbakening tot situaties waarin het risico op nadelige effecten "voldoende ernstig" is.
Deadlines: "Oprechte zorgen" over het uitstel, gezien de snelle ontwikkelingen in het AI-landschap. De co-wetgevers worden opgeroepen om voor bepaalde verplichtingen — met name transparantie-eisen — de oorspronkelijke tijdlijn te handhaven.
Maatschappelijk middenveld: "historische terugval"
133 maatschappelijke organisaties en vakbonden ondertekenden nog vóór publicatie een gezamenlijke verklaring die de Commissie opriep het Omnibus-voorstel te stoppen. EDRi (European Digital Rights) noemde het voorstel "een fundamentele terugval van EU digitale bescherming." De Civil Liberties Union for Europe was nog directer: het Omnibus "geeft Big Tech precies wat het wilde" en ondermijnt de positie van de EU als wereldleider in technologieregulering.
Corporate Europe Observatory documenteerde hoe specifieke wijzigingen terug te voeren waren op lobbypunten van grote techbedrijven. Een bijzonder punt van kritiek: de Commissie heeft bij het opstellen van het voorstel géén impactanalyse uitgevoerd, terwijl ze beweerde dat de wijzigingen "geen impact op grondrechten" zouden hebben — precies terwijl grondrechtenbeschermingen werden afgezwakt.
Het Nederlandse kabinet: kritisch maar genuanceerd
Op 12 december 2025 publiceerde het kabinet zijn BNC-fiche over de Omnibus AI en Omnibus Digitaal. De toon: welwillend over het doel, kritisch over de uitwerking.
Nederland erkent dat minder regeldruk voordelen kan bieden, met name voor het MKB. Maar het kabinet stelt dat meerdere wijzigingen het niveau van gegevensbescherming "wezenlijk verminderen." Specifiek uit Den Haag zorgen over:
- Persoonsgegevens voor AI-training: het verruimde gebruik van (gevoelige) persoonsgegevens botst volgens het kabinet met grondrechten en gaat verder dan nodig voor lastenverlichting
- AVG-aanpassingen: versoepeling van de verwerkingsgrondslag "gerechtvaardigd belang" en de datalekmelding verzwakken de burgerbescherming
- Centralisering cybermeldpunt: Nederland vreest dat nationale meldsystemen worden gepasseerd en gevoelige informatie over vitale infrastructuur op Europees niveau terechtkomt
- Ontbrekende impactanalyse: onduidelijk wat de voorstellen concreet opleveren en wat de gevolgen zijn
Het kabinet wil "eerst meer duidelijkheid van de Commissie" voordat het een definitief oordeel velt.
🇳🇱 Nederlands standpunt samengevat Het kabinet wil dat de omnibussen "versimpelen, verduidelijken en stroomlijnen" zonder dat de doelen van de wetgeving — bescherming van grondrechten, veiligheid en privacy — worden ondergraven. Een nuancepositie die ruimte laat voor onderhandeling, maar duidelijk grenzen stelt.
Waar staat het voorstel nu?
Het Omnibus-voorstel doorloopt de gewone wetgevingsprocedure (ordinary legislative procedure). Dit is de verwachte tijdlijn:
| Fase | Verwachte periode | Status |
|---|---|---|
| Publicatie voorstel | 19 november 2025 | ✅ Afgerond |
| Toewijzing EP-commissies (IMCO, ITRE, LIBE) | December 2025 | ✅ Afgerond |
| EDPB/EDPS Joint Opinion | Januari 2026 | ✅ Gepubliceerd (20 jan 2026) |
| EP-amendementen en commissierapport | Q1 2026 | 🔄 In behandeling |
| Raadspositie (general approach) | Q1 2026 | 🔄 Technische besprekingen |
| Triloog-onderhandelingen | Voorjaar–zomer 2026 | ⏳ Gepland |
| Verwachte aanname | Medio–Q3 2026 | ⏳ Onder voorbehoud |
Er is een versnelde procedure mogelijk (Rule 170 van het EP-reglement), waarmee het voorstel de volledige commissiefase kan overslaan en direct naar een plenaire stemming gaat. Dit zou aanname al in Q1 2026 mogelijk maken, maar beperkt de mogelijkheden voor amendementen en stakeholder-engagement aanzienlijk.
Parallel werkt de Commissie aan een tweede fase: de Digital Fitness Check, een uitgebreide "stresstest" van het volledige Digital Rulebook. Stakeholders kunnen tot 11 maart 2026 input leveren.
Wat betekent dit voor organisaties?
Hier wordt het praktisch. Want of het Omnibus-voorstel nu in huidige vorm wordt aangenomen, afgezwakt of versterkt — organisaties moeten nú keuzes maken.
Scenario 1: Omnibus wordt (grotendeels) aangenomen
Als het voorstel in Q2/Q3 2026 wordt aangenomen, krijgen organisaties met hoog-risico AI-systemen maximaal 16 extra maanden (tot december 2027 voor Bijlage III-systemen). De AI-geletterdheidsverplichting wordt een soft law, de registratieplicht voor self-assessed niet-hoog-risico-systemen vervalt.
Scenario 2: Omnibus wordt significant geamendeerd
Het Europees Parlement en de Raad voegen strengere waarborgen toe — bijvoorbeeld behoud van registratieplicht en AI-geletterdheidsverplichtingen, maar wél met uitgestelde deadlines. Dit is het meest waarschijnlijke scenario.
Scenario 3: Omnibus stagneert of valt
Politieke tegenstellingen of verkiezingsdynamiek vertragen het proces zodanig dat de oorspronkelijke deadlines van kracht blijven. Onwaarschijnlijk, maar niet uitgesloten.
🎯 Praktisch advies: plan op de huidige wet
Compliance-officers: ga uit van de huidige AI Act. Het Omnibus is een voorstel, geen wet. De verplichtingen rond verboden AI-praktijken (sinds februari 2025) en GPAI-modellen (sinds augustus 2025) gelden onverkort. De verwachte uitstelperiode voor hoog-risico is géén reden om compliance-trajecten te pauzeren — wel om ze pragmatisch te faseren.
- ✅ AI-geletterdheid: blijf investeren, ongeacht het Omnibus. De EDPB/EDPS steunen handhaving. Bovendien is het goed risicomanagement.
- ✅ Registratie: registreer uw systemen proactief. Mocht de plicht verdwijnen, heeft u niets verloren. Verdwijnt ze niet, bent u voorbereid.
- ✅ Hoog-risico compliance: start met gap-analyses en risicobeoordelingen nú. Zelfs met 16 maanden uitstel is de implementatietijd krap.
- ✅ Documentatie: de documentatieplicht voor self-assessed niet-hoog-risico-systemen blijft in alle scenario's bestaan.
Analyse: vereenvoudiging of verzwakking?
Laten we eerlijk zijn: de AI Act hád implementatieproblemen. Standaarden die ontbreken, nationale toezichthouders die niet zijn aangewezen, richtlijnen die op zich laten wachten — dat zijn reële obstakels. Het koppelen van deadlines aan de beschikbaarheid van standaarden is op zichzelf een verdedigbare keuze.
Maar het voorstel gaat verder dan pragmatische bijsturing. Het schrappen van de AI-geletterdheidsverplichting is geen vereenvoudiging — het is een fundamentele beleidswijziging. De registratieplicht verwijderen voor systemen die potentieel hoog-risico zijn, ondermijnt de transparantie waar de hele AI Act op is gebouwd. En het verlagen van de drempel voor verwerking van bijzondere persoonsgegevens van "strikt noodzakelijk" naar "noodzakelijk" is een subtiel maar betekenisvol verschil dat de deur openzet voor ruimer gebruik.
De kern van het probleem is dat de Commissie twee heel verschillende doelen door elkaar haalt: implementatie-ondersteuning (meer tijd, betere standaarden, praktische richtlijnen) en regelverlichting (minder verplichtingen, lagere drempels, minder transparantie). Het eerste is legitiem en welkom. Het tweede is een politieke keuze die als technische vereenvoudiging wordt verpakt.
Morrison & Foerster vat het treffend samen: "Als zelfs de Commissie en standaardisatie-organisaties hun eigen verduidelijkingsdoelen en deadlines niet halen, hoe kunnen bedrijven dan verwacht worden om te voldoen aan vaak complexe en onduidelijke vereisten?" Dat is een fair punt. Maar de oplossing is betere ondersteuning, niet minder bescherming.
Gleiss Lutz benadrukt: "De voorgestelde wijzigingen moeten niet worden gezien als deregulering, maar als concessies op praktisch niveau." Dat is de optimistische lezing. De pessimistische lezing — en die van 133 maatschappelijke organisaties — is dat dit het begin is van een systematische afbraak van het Europese digitale-rechtenraamwerk.
De waarheid ligt, zoals zo vaak in Brussel, waarschijnlijk ergens in het midden. Het Europees Parlement heeft bij eerdere Omnibus-pakketten laten zien dat het bereid is om scherpe randjes bij te vijlen. De kans dat het voorstel in zijn huidige vorm wordt aangenomen, is klein. Maar de richting is gezet, en die richting is: minder verplichtingen, meer speelruimte voor aanbieders, langere transitieperiodes.
Conclusie: waakzaamheid is geboden
Het Digital Omnibus-voorstel is geen ramp, maar het is ook geen reden tot opluchting. Het adresseert reële implementatieproblemen, maar verpakt tegelijkertijd substantiële beleidswijzigingen als "vereenvoudiging." De komende maanden worden cruciaal: het Europees Parlement en de Raad bepalen of de kern van de AI Act — transparantie, verantwoording, bescherming van grondrechten — overeind blijft.
Voor organisaties is de boodschap helder: wacht niet op het Omnibus. De huidige AI Act is de wet. De verboden zijn van kracht, de GPAI-regels gelden, en de deadlines voor hoog-risico komen eraan — Omnibus of niet. Gebruik een eventueel uitstel niet als reden om achterover te leunen, maar als extra tijd om het goed te doen.
Zoals EDPB-voorzitter Anu Talus het verwoordde: "Innovatie en efficiëntie zijn cruciaal en kunnen samengaan met het handhaven van verantwoordingsplicht voor AI-aanbieders." Dat is geen onmogelijke combinatie. Het is precies waar de AI Act voor bedoeld was.
Wilt u zeker weten dat uw organisatie compliant is met de AI Act — ongeacht wat het Omnibus brengt? Embed AI helpt organisaties met praktische AI-compliance, van gap-analyse tot implementatie. Neem contact op voor een vrijblijvend adviesgesprek.