De vertraging van de AI Act voor hoogrisicosystemen is geen uitstel
De EU heeft de deadlines voor hoogrisicosystemen uitgesteld tot december 2027 en augustus 2028. De reden voor deze verschuiving zou je interpretatie moeten veranderen: het is een waarschuwing over je scope, niet extra ademruimte voor je roadmap.

Op 7 mei 2026 bereikten het Europees Parlement en de Raad een politiek akkoord over de Digital Omnibus over AI, het pakket dat de AI Act (Verordening (EU) 2024/1689) wijzigt. De koppen gaan over een uitstel. De regels voor hoogrisicosystemen op gebieden zoals biometrie, kritieke infrastructuur, werkgelegenheid en migratie zullen nu pas gelden vanaf 2 december 2027, en de regels voor AI die is geïntegreerd in gereguleerde producten zoals liften of speelgoed vanaf 2 augustus 2028 (Europese Commissie, "EU agrees to simplify AI rules", 2026-05-07). Het merendeel van de verordening zou anders al vanaf 2 augustus 2026 van toepassing zijn, met hoogrisicosystemen die in gereguleerde producten zijn geïntegreerd al op een later schema van 2 augustus 2027 (Europese Commissie, AI Act regulatory framework page). De standalone hoogrisicoklok is dus ongeveer zestien maanden opgeschoven, en het schema voor ingebouwde producten kreeg nog eens twaalf maanden extra.
Het akkoord is nog niet wet. Het is bereikt tussen de medewetgevers, maar nog niet formeel aangenomen of gepubliceerd in het Publicatieblad van de EU. De richting is echter voldoende vastgesteld om erop te kunnen plannen, en dat is precies waar teams nu een fout gaan maken.
De fout is om zestien maanden te lezen als een uitstel. Dat is het niet. Een vertraging vertelt je drie dingen, waarvan er slechts één "je hebt meer tijd" is. De andere twee gaan over wat er naast de deadline is veranderd en waarom de deadline überhaupt is verschoven. Lees die twee eerst, en het beeld draait om.
Lees wat er daadwerkelijk is veranderd, niet alleen de datum
De hoogrisicotijdlijn is verschoven. De delen van de AI Act die al van toepassing waren, niet.
De verboden praktijken in artikel 5 zijn al van toepassing sinds 2 februari 2025, samen met de verplichtingen op het gebied van AI-geletterdheid. De governance-regels en de verplichtingen voor algemene AI-modellen zijn al van toepassing sinds 2 augustus 2025 (Europese Commissie, AI Act regulatory framework page). Geen van deze toepassingsdata is verschoven door de omnibus. Als jouw organisatie werkt met een algemene AI-model of iets exploiteert dat in aanraking komt met een verboden praktijk, dan gelden jouw verplichtingen vandaag al – en dat is al bijna een jaar het geval. Het akkoord van 7 mei zou bovendien een nieuwe verbodsbepaling toevoegen in plaats van er een te schrappen: een verbod op AI-systemen die worden gebruikt om niet-consensuele intieme beelden te genereren, de zogenaamde "nudificatie-apps" (Europese Commissie, 2026-05-07). De koers van de direct toepasbare regels is dus toevoegend, niet afnemend.
De vertraging is dus beperkt. Hij geldt voor één laag van het regime: de classificatie van hoogrisicosystemen en de daarbij behorende conformiteitsverplichtingen. De verbodsbepalingen en de verplichtingen voor algemene AI-modellen blijven precies waar ze waren. Een team dat hoort "de AI Act wordt uitgesteld" en daarom zijn hele AI-governanceprogramma stillegt, heeft een gerichte tijdlijnwijziging verkeerd geïnterpreteerd als een algemene amnestie. Dat is de eerste valkuil.
Lees waarom het is uitgesteld, want de reden is de waarschuwing
De deadline is niet uitgesteld omdat de verplichtingen makkelijk bleken. Hij is uitgesteld om de toepassing te faseren, zodat de technische normen en ondersteunende tools voor hoogrisicosystemen klaarliggen voordat de regels van toepassing worden – iets wat op het oorspronkelijke schema niet het geval was (Europese Commissie, 2026-05-07). De geharmoniseerde normen waar hoogrisicoleveranciers tegen moeten bouwen, worden nog steeds afgerond.
Bedenk wat dit betekent voor je scoping. Je krijgt geen afgerond regelboek plus extra tijd om het toe te passen. Je krijgt extra tijd precies omdat het regelboek nog niet af is. Het werk van het classificeren van je systemen, het in kaart brengen van de verplichtingen en het opbouwen van risicobeheer- en datagovernancepraktijken moet nu gebeuren tegen een bewegend doel. Dat is moeilijker dan voldoen aan een vastgestelde norm, niet makkelijker. Teams die 2 december 2027 zien als "volgend jaar nog even kijken" zullen eind 2027 aankomen met hetzelfde ongescoopte probleem als vandaag, met minder tijd en een norm die nog maar net is gestopt met veranderen.
De eerlijke interpretatie van de vertraging is het tegenovergestelde van geruststelling. De toezichthouder vertelt je dat de operationele details nog worden uitgewerkt, en de reden dat je meer tijd krijgt, is precies de reden waarom je nu moet beginnen met de duurzame, norm-onafhankelijke onderdelen van het werk: een inventarisatie van waar AI zit in je producten en processen, een verdedigbare classificatie van elk gebruik aan de hand van de Annex III-categorieën, en de risico- en datagovernancepraktijken die elke versie van de uiteindelijke norm zal eisen. Geen van dit alles hangt af van de laatste clausule die nog moet worden vastgesteld.
Verwar deze vertraging niet met de andere omnibus
Er loopt een tweede pakket door Brussel onder een vergelijkbare naam, en het verwarren van de twee is een valkuil op zich. De bredere Digital Omnibus stelt voor om de GDPR en aanverwante digitale dataregels te vereenvoudigen, en een van de voorgestelde wijzigingen zou de definitie van persoonsgegevens versmallen, waardoor de reikwijdte van de wet wordt verkleind.
Dat pakket is niet overeengekomen. Het is een omstreden voorstel, en de handhavers van de GDPR zetten zich er hard tegen af. In Joint Opinion 2/2026 (aangenomen op 10 februari 2026) drongen de European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) er bij de medewetgevers op aan het voorgestelde wijziging van de definitie van persoonsgegevens niet over te nemen, met de waarschuwing dat dit zou leiden tot een aanzienlijke verkleining van het begrip persoonsgegevens (EDPB en EDPS, Joint Opinion 2/2026, aangenomen 2026-02-10). Hun boodschap was dat vereenvoudiging niet ten koste mag gaan van de bescherming die de GDPR juist moet bieden.
De les voor de praktijk is om de twee sporen in je planning gescheiden te houden. De vertraging van de AI Act voor hoogrisicosystemen is bijna wet en je kunt op de nieuwe data vertrouwen. De "vereenvoudiging" van de GDPR is een ontwerp waar je eigen toezichthouders tegen zijn, en vooraf je verwerkingsregisters of DPIA-praktijken uit te dunnen op basis daarvan zou betekenen dat je plannen maakt rond een clausule die misschien niet standhoudt. Ontdoe je niet van compliance op basis van een voorstel. Wacht op de tekst.
De regel die je moet onthouden
Als een toezichthouder een regel uitstelt, is de datum het minst informatieve onderdeel van de aankondiging. Voordat je je roadmap aanpast, lees dan de andere twee feiten: wat is er naast de deadline niet veranderd, en waarom is de deadline verschoven? Hier zijn de verbodsbepalingen en de verplichtingen voor algemene AI-modellen niet veranderd, en de hoogrisicotijdlijn is uitgesteld omdat de norm nog niet klaar was. Samen genomen, veranderen deze twee feiten een zestienmaanden-uitstel van een reden om af te remmen in een reden om nu te beginnen met het werk dat nooit afhankelijk is geweest van de deadline.
Als je korte-termijnopdracht het onopvallende midden is van deze exercitie – het in kaart brengen van waar AI zit in je estate en het classificeren van elk gebruik aan de hand van de Annex III-categorieën en de daaruit voortvloeiende verplichtingen – dan is dat precies de norm-onafhankelijke voorbereiding die nu de moeite waard is. En het soort kruisverwijzingswerk waarvoor ISMS Copilot is gebouwd om het te versnellen. De deadline is uitgesteld. Het werk niet.
Gerelateerde artikelen

AI voor GDPR: Automatisering van grensoverschrijdende gegevensoverdrachten
Automatiseer het in kaart brengen, monitoren en documenteren van EU-grensoverschrijdende gegevensoverdrachten met AI – juridische teams behouden de uiteindelijke beslissingen.

Beste praktijken voor voorbereiding op multi-framework audits
Centraliseer controles, breng overlappende vereisten in kaart en automatiseer bewijsvoering om audittijd en -kosten te verminderen over meerdere nalevingskaders.

Top 10 GRC-platforms met AI-rapportagefuncties
AI-gestuurde GRC-platforms verminderen handmatig compliance-werk door geautomatiseerde bewijsverzameling, cross-framework mapping en snellere auditrapportage.
