EU AI Act: de deadline van 2 augustus 2026 wordt uitgesteld naar december 2027

Gaat de EU AI Act-deadline van 2 augustus 2026 door?

Nee — niet voor de zwaarste verplichtingen. Met de Digital Omnibus on AI hebben de Europese Raad en het Parlement afgesproken de hoog-risico-verplichtingen uit te stellen: stand-alone systemen (Annex III) van 2 augustus 2026 naar 2 december 2027, en in producten ingebedde systemen (Annex I) van 2 augustus 2027 naar 2 augustus 2028. Eén belangrijke nuance: zolang die wijziging niet in het Publicatieblad van de EU staat, blijft 2 augustus 2026 formeel de geldende datum. En een aantal verplichtingen verandert níet — die gelden al sinds 2025.

Wat er is gebeurd

De uitrol van de hoog-risico-regels liep eind 2025 zichtbaar achter op schema; standaarden en richtsnoeren waren nog niet klaar. Daarop kwam de Europese Commissie op 19 november 2025 met de Digital Omnibus on AI. Het verloop sindsdien:

• —26 maart 2026 — het Europees Parlement neemt zijn onderhandelingspositie aan (569 vóór, 45 tegen, 23 onthoudingen).
• —7 mei 2026 — Raad en Parlement bereiken een voorlopig politiek akkoord; de lidstaten (Coreper) bevestigen op 13 mei.
• —2 juni 2026 — de commissies IMCO en LIBE geven groen licht.
• —16 juni 2026 — het Parlement neemt de definitieve tekst aan: 423 vóór, 57 tegen, 174 onthoudingen.
• —Daarna — formele aanname door de Raad (verwacht eind juni), publicatie in het Publicatieblad, inwerkingtreding 3 dagen later. De wetgever wil dit afronden vóór 2 augustus 2026.

Praktische consequentie: tot de wijziging in het Publicatieblad staat, is de oorspronkelijke datum juridisch nog leidend. Bereid u voor alsof beide scenario's kunnen — maar reken op de nieuwe data.

Wat wordt uitgesteld (en wat erbij komt)

Let op: het pakket is niet puur deregulering. Er komt een nieuw verbod bij in artikel 5 — op AI die niet-consensuele intieme beelden ('nudify') of materiaal van seksueel kindermisbruik genereert.

Wat NIET verandert — en dit wordt vaak gemist

Deze verplichtingen golden al en blijven staan:

• —Verboden AI-praktijken (Art. 5) — van kracht sinds 2 februari 2025. Denk aan bepaalde vormen van social scoring, ongerichte scraping van gezichtsbeelden, emotieherkenning op de werkvloer.
• —AI-geletterdheidsplicht (Art. 4) — sinds 2 februari 2025. Wie personeel met AI laat werken, moet zorgen dat zij voldoende AI-kennis hebben.
• —GPAI-modellen (general-purpose AI) — verplichtingen sinds 2 augustus 2025.
• —Algemene transparantie (Art. 50) — blijft 2 augustus 2026 (alleen de watermerk-subplicht schuift naar december 2026).
• —Handhaving en boeteregime — nationale toezichthouders krijgen hun handhavende tanden vanaf 2 augustus 2026, ook voor de verboden praktijken die al sinds 2025 gelden.

Met andere woorden: het uitstel raakt de hoog-risico-bouwlast, niet de basisregels. Die zijn er nu al.

De boetes (ongewijzigd)

Het sanctieregime (Art. 99) blijft zoals het is:

• —Verboden praktijken: tot € 35 miljoen of 7% van de wereldwijde jaaromzet — het hoogste van de twee.
• —Overige verplichtingen, inclusief hoog-risico: tot € 15 miljoen of 3%.
• —Onjuiste/misleidende informatie aan toezichthouders: tot € 7,5 miljoen of 1%.
• —Voor MKB en start-ups geldt steeds het laagste van de twee bedragen.

Wat het betekent voor de zorg

Klinische AI wordt meestal hoog-risico via de medische-hulpmiddelenroute (Art. 6(1)), niet via de use-case-lijst. Volgens de officiële richtsnoer MDCG 2025-6 is een AI-hulpmiddel hoog-risico als aan twee voorwaarden samen is voldaan: (1) het is zelf een medisch hulpmiddel of een veiligheidscomponent daarvan, én (2) het vereist een conformiteitsbeoordeling door een notified body onder de MDR/IVDR.

• —In de praktijk valt vrijwel alle klinisch betekenisvolle AI-software onder MDR-klasse IIa of hoger (Rule 11) of IVDR-klasse B+ — dus hoog-risico. Voorbeelden: clinical decision support (CDSS), beeld-/ECG-/pathologie-analyse, behandeladvies, early-warning scoring.
• —In-house uitzondering: hulpmiddelen die binnen één zorginstelling worden gebouwd én gebruikt (Art. 5(5) MDR/IVDR) zijn géén hoog-risico AI — relevant voor UMC's die zelf modellen bouwen. Maar Art. 5-verbod, Art. 50-transparantie en de AVG blijven gelden.
• —Spoedtriage valt apart onder Annex III (punt 5(d)) en is hoog-risico op eigen titel.

De productgebonden route schuift naar 2 augustus 2028 — extra lucht voor medische-AI-bouwers. Maar de MDR/IVDR-, AVG- en NEN 7510-eisen blijven onverkort gelden; een DPIA is bij gezondheidsdata in de regel verplicht.

Wat het betekent voor finance

Twee use-cases zijn expliciet hoog-risico (Annex III, punt 5):

• —Kredietwaardigheid / credit scoring van natuurlijke personen (punt 5(b)) — met een uitzondering voor fraudedetectie.
• —Risico-inschatting en prijsstelling van levens- en zorgverzekeringen (punt 5(c)).

Drie dingen om te weten:

• —De 'geen significant risico'-uitzondering (Art. 6(3)) helpt hier zelden: profilering van personen is altijd hoog-risico.
• —Een Fundamental Rights Impact Assessment (Art. 27) is verplicht — óók voor private banken en verzekeraars — bij 5(b) en 5(c). Die plicht geldt voor de meeste andere private partijen níet.
• —DORA (sinds 17 januari 2025) loopt parallel en is niet uitgesteld: voor een hoog-risico krediet-AI stapelen AI Act- én DORA-eisen (ICT-risk, weerbaarheid, derde-partij-oversight).

De use-case-route schuift naar 2 december 2027.

Nederland: wie houdt toezicht?

Het kabinet publiceerde op 20 april 2026 de concept-Uitvoeringswet AI-verordening (consultatie liep tot 1 juni 2026; nog niet aangenomen). De kern:

• —De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) krijgen een coördinerende rol; de RDI wordt het nationale aanspreekpunt (SPOC, Art. 70).
• —Daaronder houden sectorale toezichthouders toezicht — voor de zorg o.a. de IGJ, voor finance de AFM en DNB.
• —De AVG-lijn (AP) en de AI Act-lijn lopen door elkaar: bij gezondheidsdata test de AP beveiliging in de praktijk tegen NEN 7510.

Wat u nú zou moeten doen — ondanks het uitstel

Uitstel is geen afstel. De extra ~16 maanden zijn precies genoeg om hoog-risico-systemen góed neer te zetten in plaats van een sprint naar een datum die toch verschoof. Vier dingen die nu al spelen:

1. 01AI-geletterdheid (Art. 4) is al verplicht. Train de mensen die met AI werken — dit is laaghangend fruit en het geldt nú.
2. 02Check op verboden praktijken (Art. 5). Draai niets wat al verboden is; de handhaving start 2 augustus 2026.
3. 03Inventariseer en classificeer uw AI-systemen. Welke vallen straks onder hoog-risico (Annex III of de productroute)? Zonder die kaart kunt u niet plannen.
4. 04Bouw governance vanaf het ontwerp, niet als compliance-laag achteraf: audit trails, confidence-scoring per stap, human-in-the-loop bij beslissingen die ertoe doen, logging (Art. 12, met minimaal 6 maanden bewaartermijn voor deployers) en een DPIA waar persoonsgegevens spelen.

Dat laatste punt is precies hoe ik systemen bouw: veiligheid en menselijke regie zitten in het ontwerp, niet eromheen. Dan is "compliant zijn" geen apart project, maar een eigenschap van het systeem.