Responsible AI Platform

Europese Commissie mist deadline hoog-risico guidance: wat betekent dit voor uw compliance?

··7 min leestijd
Delen:
Engelse versie niet beschikbaar

De Europese Commissie miste op 2 februari een cruciale deadline. De gevolgen voor organisaties die zich voorbereiden op de AI Act zijn groter dan op het eerste gezicht lijkt.

Op 2 februari 2026 verstreek een deadline die weinig media-aandacht kreeg, maar die voor duizenden organisaties in Europa enorm relevant is. De Europese Commissie had op die datum richtsnoeren moeten publiceren over Article 6 van de AI Act, het artikel dat bepaalt wanneer een AI-systeem als "hoog-risico" wordt geclassificeerd. Die richtsnoeren zijn er niet gekomen. De compliance-deadlines verschuiven echter geen dag.

Wat betekent dit concreet? Organisaties moeten vóór 2 augustus 2026 voldoen aan uitgebreide verplichtingen voor hoog-risico AI-systemen, maar missen nu de officiële leidraad om te bepalen welke systemen daar precies onder vallen. Het is alsof je een examen moet halen terwijl de syllabus nog niet is gepubliceerd.

De gemiste deadline: Article 6 guidance

Article 6 van de AI Act is het scharnierpunt van de hele verordening. Het bepaalt, samen met Annex III, welke AI-systemen als hoog-risico worden aangemerkt en dus onderworpen zijn aan de zwaarste complianceverplichtingen: risicobeheer, technische documentatie, menselijk toezicht en conformiteitsbeoordelingen.

De Commissie was op grond van Article 96(1) verplicht om uiterlijk 2 februari 2026 richtsnoeren te publiceren over de praktische toepassing van dit artikel. Dat is niet gebeurd. Volgens Digital Watch Observatory wordt feedback nog verwerkt, en wordt een herzien ontwerp later deze maand verwacht. Definitieve adoptie schuift mogelijk door naar het voorjaar.

Let op: De deadline van 2 februari 2026 voor Article 6 guidance was een wettelijke verplichting van de Commissie onder Article 96(1) AI Act. Het niet-publiceren verandert niets aan de verplichtingen voor aanbieders en gebruikers van hoog-risico AI-systemen.

Het probleem is tweeledig. Ten eerste weten organisaties niet precies hoe zij moeten beoordelen of hun AI-systeem onder de hoog-risico-categorie valt, met name bij de zogeheten "filter" van Article 6(3), die bepaalt wanneer een systeem dat in Annex III staat toch niet als hoog-risico geldt. Ten tweede missen conformiteitsbeoordelingsinstanties (notified bodies) de kaders om hun werk op te baseren.

Digital Omnibus: uitstel dat er misschien nooit komt

Parallel aan de guidance-vertraging speelt een tweede onzekerheidsfactor: het Digital Omnibus-voorstel dat de Commissie in november 2025 presenteerde. Dit voorstel stelt voor om de verplichtingen voor hoog-risico AI-systemen onder Annex III uit te stellen tot maximaal 2 december 2027, zestien maanden later dan de huidige deadline.

Maar er zijn belangrijke kanttekeningen. Zoals Taylor Wessing analyseert, gaat het niet om een automatisch uitstel. De Commissie zou eerst moeten bevestigen dat "adequate support measures" beschikbaar zijn. Osborne Clarke wijst erop dat het uitstel alleen geldt voor systemen onder Article 6(2) en Annex III, niet voor de bredere AI Act-verplichtingen.

En cruciaal: het Digital Omnibus is een voorstel, geen wet. Het moet nog door het Europees Parlement en de Raad. Compliance Corylated meldt op basis van een Clifford Chance briefing dat het voorstel "hard fought" zal worden, en dat het Omnibus zelf vóór augustus 2026 moet zijn goedgekeurd om überhaupt effect te hebben op de deadline.

Praktische implicatie: Plan uw compliance-traject op basis van de huidige deadline van 2 augustus 2026. Als het Omnibus tot uitstel leidt, heeft u extra tijd gewonnen. Als het niet doorgaat of te laat komt, bent u voorbereid.

SME-uitzonderingen: verlichting of schijnoplossing?

Het Digital Omnibus bevat ook voorstellen voor vereenvoudiging ten behoeve van kleine en middelgrote ondernemingen. Denk aan versimpelde kwaliteitsmanagementsystemen en verlichting van bepaalde documentatieverplichtingen. De Commissie heeft €950 miljoen gealloceerd uit het Digital Europe Programme om 2.400 MKB-bedrijven te ondersteunen via regulatory sandboxes en conformiteitsbeoordelingshulp.

Klinkt goed. Maar de realiteit is dat de kern van de hoog-risicoverplichtingen (risicobeheer, transparantie, menselijk toezicht) ook voor MKB'ers overeind blijft. De vereenvoudigingen raken vooral de procedurele lasten, niet de inhoudelijke eisen. Wie een hoog-risico AI-systeem aanbiedt, moet hoe dan ook aantonen dat het veilig en betrouwbaar is.

Signatory Taskforce: GPAI Code of Practice krijgt tanden

Terwijl de hoog-risico-kant van de AI Act vertraging oploopt, accelereert de GPAI-kant juist. Het EU AI Office heeft een Signatory Taskforce opgericht onder de General-Purpose AI Code of Practice. De Taskforce brengt bedrijven samen die de Code hebben ondertekend en fungeert als forum voor de praktische interpretatie van de GPAI-verplichtingen.

Zoals BABL AI rapporteert, zijn de transparantie-, veiligheids- en verantwoordingsverplichtingen voor GPAI-aanbieders al van kracht sinds 2 augustus 2025, maar begint de handhaving pas in augustus 2026. De Taskforce moet zorgen voor consistente interpretatie vóór die handhavingsdatum.

Concreet: GPAI-aanbieders moeten per augustus 2026 onder meer een publieke samenvatting van hun trainingsdata publiceren op basis van een template van de Commissie. Dit raakt direct aan de auteursrechtendiscussie en de transparantieverplichtingen onder de AI Act.

2026: het jaar van handhaving

Laten we eerlijk zijn: 2025 was het jaar van voorbereiding. De verboden op onaanvaardbare AI-praktijken gelden sinds 2 februari 2025, de GPAI-regels sinds augustus 2025. Maar echte handhaving? Die begint in 2026.

Zoals PYMNTS rapporteert, creëert 2026 een "far more demanding global regulatory climate". Niet alleen in de EU, maar ook in de VS (Colorado AI Act per juni 2026, California ADMT-regels) en China. Organisaties opereren steeds meer in een web van overlappende AI-verplichtingen.

In Europa worden 72 nationale markttoezichthouders actief, met naar verwachting 1.600 klachten per jaar. De boetes zijn substantieel: tot €35 miljoen of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen.

Documentatie-gaps zijn zelf overtredingen. Onder de AI Act is het ontbreken van vereiste technische documentatie, logregistratie of conformiteitsverklaringen een zelfstandige overtreding, ongeacht of het AI-systeem verder correct functioneert. Wie wacht tot de guidance er is om documentatie op te starten, loopt het risico op boetes tot €15 miljoen of 3% van de omzet.

Waarom u nu moet beginnen, niet straks

Het is verleidelijk om te wachten. De guidance is vertraagd. Het Omnibus biedt mogelijk uitstel. De standaarden zijn nog niet definitief. Maar juist die onzekerheid is een argument om nu te handelen, niet later.

Regulativ.ai maakt de vergelijking met de GDPR: 85% van de beboete organisaties in de eerste twee jaar van de GDPR claimde dat zij "geen duidelijke guidance hadden." Dat bleek geen geldige verdediging. Dezelfde dynamiek dreigt bij de AI Act.

Wat kunt u nu al doen, ook zonder definitieve guidance?

1. AI-systeem inventarisatie. Breng in kaart welke AI-systemen uw organisatie ontwikkelt, implementeert of gebruikt. Dit is altijd stap één, ongeacht welke guidance er komt.

2. Voorlopige risicoclassificatie. De tekst van Article 6 en Annex III is beschikbaar. U kunt op basis daarvan een voorlopige beoordeling maken, ook zonder de richtsnoeren. Markeer systemen die "op de grens" zitten voor herclassificatie zodra de guidance verschijnt.

3. Documentatie opbouwen. Technische documentatie, risicobeheersystemen, logregistratie: deze vereisten staan in de AI Act zelf en zijn niet afhankelijk van nadere guidance. Begin nu met opbouwen.

4. Governance-structuur inrichten. Wijs verantwoordelijkheden toe, richt een AI-governance-team in, definieer escalatieprocedures. Dit kost tijd en is organisatorisch, niet afhankelijk van regelgevingsdetails.

5. GPAI-verplichtingen checken. Als u general-purpose AI-modellen aanbiedt of integreert, gelden er al verplichtingen sinds augustus 2025. Controleer of u voldoet aan de transparantievereisten en de samenvatting van trainingsdata.

Het grotere plaatje: een web van AI-wetgeving

De EU AI Act staat niet op zichzelf. In 2026 krijgen organisaties te maken met een convergentie van AI-regelgeving wereldwijd:

  • EU: Volledige handhaving AI Act per augustus 2026, Digital Omnibus in behandeling, GPAI Code of Practice actief
  • VS: Colorado AI Act (juni 2026), California ADMT-regels (voorbereiding op 2027), agressieve handhaving door state attorneys general
  • Internationaal: China's AI-regels worden aangescherpt, het VK werkt aan een eigen AI Bill

Zoals Wilson Sonsini noteert, is 2026 het jaar waarin AI-regulering verschuift van beleid naar handhaving. Organisaties die internationaal opereren moeten compliance holistisch benaderen.

Conclusie: vijf actiepunten voor deze maand

De guidance-vertraging is frustrerend, maar geen excuus voor stilzitten. De AI Act-deadlines staan. De handhaving komt. De boetes zijn reëel. Dit zijn uw vijf prioriteiten voor februari 2026:

  1. Voer een AI-inventarisatie uit als u dat nog niet heeft gedaan: elk AI-systeem, elke use case, elke leverancier
  2. Maak een voorlopige hoog-risicobeoordeling op basis van Article 6 en Annex III. Wacht niet op de guidance
  3. Start met technische documentatie. Dit is de meest tijdrovende verplichting en de meest waarschijnlijke bron van boetes
  4. Monitor het Digital Omnibus, maar plan op de bestaande deadline van augustus 2026
  5. Check uw GPAI-verplichtingen. Transparantie-eisen gelden al, handhaving begint over zes maanden

De Commissie mag dan te laat zijn met haar huiswerk. U kunt zich dat niet veroorloven.