Als je AI-werk aan klanten verkoopt, heb je de mail vast gehad: "Zijn we klaar voor de AI Act in augustus?" Het eerlijke antwoord werd op 7 mei 2026 een stuk interessanter, toen de Raad en het Parlement een voorlopig akkoord bereikten over de Digital Omnibus — een pakket dat de hoog-risicoverplichtingen uitstelt, terwijl de rest van de augustusdatum overeind blijft. Formele vaststelling wordt vóór de deadline verwacht; hanteer de nieuwe data als je planningsbasis.

De tijdlijn, zoals die er nu ligt

Geldt al

  • Sinds 2 februari 2025 — de verboden (social scoring, manipulatieve systemen, en sinds de omnibus ook generators van niet-consensueel intiem beeldmateriaal) en de AI-geletterdheidsplicht voor organisaties die AI gebruiken.
  • Sinds 2 augustus 2025 — verplichtingen voor aanbieders van GPAI-modellen. Die liggen bij de modelleveranciers, niet bij de producten die jij erbovenop bouwt.

Wat op 2 augustus 2026 gewoon ingaat

  • Transparantieplichten — gebruikers moeten weten dat ze met AI praten, en deepfakes / AI-gegenereerde media moeten door de gebruiksverantwoordelijke worden gemeld.
  • De handhavingsmachine — nationale toezichthouders en het boetekader worden volledig van toepassing.
  • De algemene toepassingsdatum van de wet — alles wat niet expliciet is uitgesteld, geldt.

Wat de omnibus verschoof

  • Machineleesbaar watermerken van AI-content (artikel 50(2)): 2 augustus 2026 → 2 december 2026.
  • Nationale regulatory sandboxes: 2 augustus 2026 → 2 augustus 2027.
  • Hoog-risicoverplichtingen voor Annex III-systemen: 2 augustus 2026 → 2 december 2027.
  • Hoog-risico-AI in gereguleerde producten (Annex I): 2 augustus 2027 → 2 augustus 2028.

Compliance is geen PDF die je aan het einde schrijft. Het is een architectuurkeuze die je aan het begin maakt.

Wat dit betekent als je AI aan klanten verkoopt

De meeste klantprojecten — copilots, documentautomatisering, support-assistenten, contenttooling — zijn niet hoog-risico onder Annex III. Voor die projecten is de realiteit van augustus 2026 verfrissend concreet: meld de AI, label gegenereerde media, houd je PII-verwerking op orde onder de AVG, en kunnen laten zien hoe het systeem werkt.

Het uitstel voor hoog-risicosystemen is ademruimte, geen vakantie. Raakt de use case van je klant aan werving, krediet, onderwijs of essentiële diensten, dan klinkt december 2027 ver weg — tot je bedenkt dat logging, toezichtsmomenten en documentatie 10× goedkoper zijn om in te bouwen dan om achteraf in te breken. Wij bouwen standaard naar die lat, want het op één na goedkoopste moment is nú.

De checklist die we op elke AI-bouw draaien

  1. Classificeer de use case. Verboden, hoog-risico, beperkt of minimaal — plus je rol: aanbieder, gebruiksverantwoordelijke of integrator. Eén A4, geregeld vóór er code staat.
  2. Kies de hosting vóór de eerste prompt. EU-hosted modellen — Mistral AI, AWS Bedrock in EU-regio's — of open weights op de eigen infrastructuur van de klant als data niet weg mag.
  3. Ontwerp de meldings-UX. "Je praat met AI" is een productbeslissing; achteraf opgeplakte banners converteren slechter dan eerlijk design.
  4. Log beslissingen, bouw toezicht in. Prompt- en beslislogging plus menselijke checkpoints waar de impact erom vraagt.
  5. Draag het papierspoor over. Modelinventaris, evaluatieresultaten en DPIA-input, zodat de DPO van je klant antwoorden krijgt in plaats van huiswerk.

De langere versie hiervan staat op onze EU Ready-pagina.

FAQ

Is de watermerkplicht geschrapt?

Nee — de plicht om AI-content machineleesbaar te markeren (artikel 50(2)) verschoof naar 2 december 2026, met een kortere overgangsperiode dan oorspronkelijk gepland. Vier maanden is één release-cyclus: plan er nu voor.

Het systeem van onze klant is hoog-risico (Annex III). Achteroverleunen tot december 2027?

Bouw nu alvast naar de hoog-risicolat. Logging, toezicht en documentatie achteraf inbouwen kost een veelvoud van meteen goed bouwen — en de AVG geldt vandaag al volledig, los van de AI Act-tijdlijn.

Beginnen de boetes in augustus 2026?

Het boetekader en de nationale toezichthouders gelden vanaf 2 augustus 2026 — en de verboden zijn al sinds februari 2025 handhaafbaar. Gokken op trage toezichthouders is geen compliance-strategie.

Wij roepen modellen zoals Claude of Mistral alleen via een API aan — zijn wij een "aanbieder"?

Meestal ben je gebruiksverantwoordelijke of integrator: de GPAI-verplichtingen liggen bij de modelleverancier, terwijl transparantieplichten en AVG-verplichtingen aan jouw product hangen. Een korte classificatie maakt je rol per use case duidelijk.

Vervangt de AI Act de AVG?

Nee. De AVG blijft volledig gelden voor alle persoonsgegevens in je AI-features — de AI Act komt erbovenop, niet in de plaats ervan.

Bronnen: Raad van de EU, persbericht over het AI-omnibusakkoord (7 mei 2026) · Gibson Dunn, analyse van het omnibusakkoord · VerifyWise, wat er veranderde op 7 mei 2026. Wij zijn engineers, geen juristen — voor juridische goedkeuring schakel je de DPO en juristen van je klant in.

Een klant met AI Act-vragen die je liever niet alleen beantwoordt? Plan een call — haal ons erbij, white-label.