Is het uitstel van de EU AI Act doorgegaan?

Nee. Op 28 april 2026 mislukte de trilogue tussen Raad, Commissie en Parlement. De AI Act blijft in werking volgens het oorspronkelijke tijdpad — er komt geen generiek uitstel voor organisaties.

Welke verplichtingen gelden er nu al voor mijn organisatie?

Artikel 4 AI-geletterdheid geldt al, de transparantieplicht voor generatieve AI staat vast, en hoogrisico-systemen moeten in 2026 voldoen aan documentatie- en governance-eisen. Inventarisatie van waar AI in je organisatie wordt gebruikt is de eerste stap.

Wat moet ik als bestuurder of commissaris nu doen?

Begin met een AI-inventaris, leg governance vast (rollen, beleid, risicotoezicht) en zorg dat medewerkers AI-geletterd zijn. Doe dit niet als afvinklijst, maar om strategische slagkracht en aansprakelijkheid te beheersen.

AI Act-uitstel ging niet door. En dat is niet eens je grootste probleem.

Op 28 april kwam het uitstelpakket voor de AI Act, de Digital Omnibus, voor de derde keer in onderhandeling. Twaalf uur lang zaten de Europese Commissie, het Parlement en de Raad om tafel met één vraag: schuift de AI Act zestien maanden op? Het werd niets. Geen akkoord. Op 7 mei volgde alsnog een akkoord. En tot er wél iets ligt, blijft de oorspronkelijke deadline van 2 augustus 2026 keihard staan.

Maar dit is niet het echte probleem.

Het echte probleem is dat de meerderheid van de bestuurders, verzekeringsintermediairs en ondernemers überhaupt niet weet dat deze wet bestaat. Laat staan dat ze hadden meegekregen dat er een uitstel op tafel lag dat vorige week sneuvelde.

Dit is geen detail. Dit is precies waar het verschil zit tussen organisaties die straks voorkeurspartner zijn en organisaties die in paniek schaken.

TL;DR

De AI Act-onderhandeling van 28 april mislukte op keuringen voor AI in medische apparatuur en machines. Tot er een akkoord ligt, blijft 2 augustus 2026 de deadline.
Het grootste risico zit niet in Brussel, maar in het bewustzijn. De meeste bestuurders weten niet eens dat de wet bestaat.
Wie nu inventariseert, governance inricht en aan AI-geletterdheid voldoet, bouwt geen vinklijst maar slagkracht — en dat verschil ga je terugzien in welke partijen straks gekozen worden.

Wat er op 28 april op tafel lag

De AI Act is in 2024 aangenomen. De wet werkt in fasen. Hoogrisico-AI-systemen moeten vanaf 2 augustus 2026 voldoen aan zwaardere eisen. Risicomanagement. Datakwaliteit. Transparantie. Menselijk toezicht. Cybersecurity. Voor de verzekeringssector raakt dit alles wat met risicobepaling, premieberekening, claims en fraudedetectie te maken heeft. Dat is niet één randsysteem. Dat is de kern.

Het voorstel in de Digital Omnibus was helder. Hoogrisicoverplichtingen voor losse AI-systemen verschuiven naar 2 december 2027. Voor AI die ingebouwd zit in andere gereguleerde producten, naar 2 augustus 2028. Dat klonk als ademruimte.

Het breekpunt op 28 april zat in Annex I. Dat is het hoofdstuk dat regelt hoe AI in al gereguleerde producten gekeurd moet worden. Denk aan medische apparatuur, industriële machines en in-vitro diagnostica. De vraag: hoe verhoudt de AI Act zich tot bestaande veiligheidswetten in die sectoren? Daar kwamen de partijen niet uit. En zonder oplossing daar, geen uitstel. Dat lees je terug bij thenextweb.com (opent in nieuw venster).

Het Cypriotische voorzitterschap van de EU-Raad wil het dossier voor 30 juni rond hebben. Lukt dat niet, dan loopt het door naar het volgende voorzitterschap. En dan zit je in juli 2026, één maand voor de oorspronkelijke deadline. Eén maand.

De bewustzijnskloof is het echte risico

Een wet kan zo streng zijn als hij wil. Als jouw doelgroep niet weet dat de wet bestaat, gaat de wet langs de werkelijkheid heen. En in dit geval doet hij dat ook.

Vraag een gemiddelde bestuurder wat een conformity assessment is. Stilte. Vraag of ze weten dat ze CE-markering moeten halen voor hun fraudemodel. Stilte. Vraag of ze artikel 4 over AI-geletterdheid kennen, dat al meer dan een jaar van kracht is en waar de handhaving straks op start. Stilte. En dan hebben we het nog niet over de AI die buiten het zicht van IT en compliance al rondloopt — shadow AI die je organisatie al heeft binnengedrongen (opent in nieuw venster).

Dit is geen verwijt. Dit is een systeemfout. De wet is in 2024 aangenomen. De Commissie is nu aan het sleutelen aan een uitstel dat in vakkringen de hele agenda bepaalt. En tegelijk weet de doelgroep waar het allemaal om draait nergens van.

Wat dat betekent voor jou? Als je dit stuk leest, ben je niet meer in de groep die de wet niet kent. Je bent in de minderheid die het wel ziet.

Waarom afwachten de duurste keuze is

Het probleem is niet de deadline. Het probleem is wat er móét vóór de deadline. En dat zien de meesten niet.

Conformity assessment. Drie woorden die in de praktijk al snel een jaar werk betekenen, afhankelijk van hoeveel hoogrisicosystemen je raakt. Dat is een proces om vooraf te bewijzen dat je AI voldoet aan de wet. CE-markering is het stempel dat je krijgt als dat bewijs er is. Twee begrippen die boekhoudkundig klinken, maar in de uitvoering een verbouwing zijn.

Hier is mijn punt. Ook als het uitstel er in mei alsnog komt, blijft de tijdsdruk groot. Wil je in december 2027 voldoen, dan moet je in januari 2027 klaar zijn met de invoering. Dat betekent dat je in maart 2026 met de keuring moet starten. Dat betekent dat je nu, in mei 2026, je governance, je documentatie en je AI-overzicht op orde moet hebben. Komt het uitstel er níét, dan heb je nog drie maanden. Niet drie jaar.

Wachten op Brussel is geen strategie. Het is gokken op iets waar je geen invloed op hebt. En het is twee keer fout. Eerst omdat het uitstel niet zeker is. Daarna omdat het werk te groot is om in de resttijd af te ronden.

Wat conformity assessment en CE-markering in de praktijk betekenen

Hier is de uitleg die ik in de meeste artikelen mis.

Een conformity assessment is geen audit achteraf. Het is een proces waarin je vooraf bewijst dat een AI-systeem voldoet aan de eisen van de AI Act. Voordat het op de markt komt of in gebruik wordt genomen. Voor verzekeraars en intermediairs betekent dit: voor elk AI-systeem dat invloed heeft op kredietwaardigheid, premie, claims of toegang tot een verzekering moet je een dossier kunnen overleggen. Hoe het is getraind. Op welke data. Met welke testresultaten. Welke risico's je hebt gevonden. Hoe mensen er toezicht op houden.

CE-markering is het zichtbare bewijs dat je dit proces hebt doorlopen. Net zoals op een kinderspeeltje of een medisch apparaat. Voor AI is het nieuw. Voor de toezichthouders is het straks de enige manier om te zien of jouw systeem klaar is om mensen mee te beoordelen.

Een conformity assessment bestaat uit vier blokken:

Risicomanagement. Een doorlopend, vastgelegd proces om risico's te vinden, te beoordelen en te verkleinen. Niet één keer bij de start. Doorlopend, de hele levensloop van het model.
Datakwaliteit en bias-testing. Bewijs dat je trainingsdata representatief zijn, dat je hebt getest op vooroordelen, en dat fouten in je data niet doorwerken in beslissingen die mensen raken. Bij verzekeringen is dat geen abstract idee. Dat is het verschil tussen een eerlijke premie en een afgewezen aanvraag op basis van een postcode.
Transparantie en logging. Logbestanden van wat het systeem doet, beslist en aanbeveelt. Documentatie die uit te leggen is aan een toezichthouder die geen specialist is.
Menselijk toezicht. Een medewerker die de knop snapt. En die weet wanneer hij hem niet moet drukken.

Simpel gezegd: een conformity assessment is het bewijs dat je AI-systeem de wet kent, de risico's heeft geïdentificeerd en mensen in staat stelt in te grijpen. CE-markering is het stempel dat zegt dat dat bewijs er is.

Elk blok kent eigen documentatie, een eigen verantwoordelijke, een eigen bewijsspoor. Dit is geen invuloefening. Dit is een verbouwing.

En vergeet artikel 4 niet. De plicht tot AI-geletterdheid is al van kracht sinds 2 februari 2025. De handhaving start in augustus 2026. Aldus de Autoriteit Persoonsgegevens (opent in nieuw venster). Dat is geen toekomstig probleem. Dat is een bestaand verzuim als je er nu nog niets mee doet. Hoe je dat in de praktijk aanpakt, schreef ik eerder in AI-trainingsplicht 2026.

Hoe je het wel doet: drie sporen tegelijk

Niet wachten op de uitkomst in mei. De oorspronkelijke deadline blijft je ankerpunt. Drie sporen tegelijk.

1. Inventarisatie

Welke AI-systemen draaien er? Welke leveranciers gebruiken AI in de keten? Wat is hoogrisico en wat niet? Een serieuze inventarisatie kost een paar maanden. En dat overzicht blijkt elke keer groter dan vooraf gedacht. Vooral de leveranciers-AI verstopt zich. In CRM, in telefonie, in claim-software, in premieberekenaars, in fraudedetectie. Dingen die je toch al gebruikte en waarvan je niet doorhad dat er een model in zat.

Veel leveranciers in deze keten hebben zelf geen idee wat een conformity assessment is. Geen kwade wil. Geen onkunde. Gewoon nooit met die vraag geconfronteerd. Dat soort gesprekken duurt maanden, niet weken. Begin er dus nu mee.

2. Governance

Wie is verantwoordelijk voor welk systeem? Hoe worden modellen goedgekeurd voordat ze live gaan? Wie ziet incidenten en wie escaleert? Niet opnieuw bedenken. Hang het op aan de risico- en compliance-structuur die je al hebt. Daar moet het toch al landen.

Per systeem één eigenaar voor risico, één voor data, één voor menselijk toezicht. Geen comités. Geen werkgroepen. Eigenaren met naam.

3. Geletterdheid

AI-geletterdheid is geen vrijblijvende cursus en geen toekomstmuziek. De wettelijke plicht uit artikel 4 geldt al meer dan een jaar. Het verschil tussen organisaties die hier serieus in investeren en organisaties die een e-learning afvinken, ga je vanaf augustus terugzien in incidenten en in audits.

En geletterdheid is iets anders dan vaardigheid. Mensen leren werken met ChatGPT is leuk. Mensen leren zien wanneer AI fout zit, leren beoordelen wanneer een uitkomst niet klopt, leren wanneer ze moeten ingrijpen. Dat is wat de wet wil. Dat kost meer dan een ochtend training.

Het verschil tussen vinklijst en slagkracht

Wat je ziet bij organisaties die nu doorpakken: ze bouwen geen vinklijst, ze bouwen slagkracht. Het verschil is groot.

Een vinklijst is afvinken en hopen dat je het nooit hoeft te laten zien. Slagkracht is sneller kunnen reageren als toezichthouders vragen stellen. Slagkracht is een eigen oordeel hebben over welke leveranciers door de selectie komen. Slagkracht is wendbaar zijn als de wetgeving in 2027 alsnog wordt aangescherpt. Want dat gaat gebeuren.

En het commerciële effect is nog groter. Een verzekeringsintermediair die straks kan laten zien dat zijn AI-onderbouwing op orde is, wordt voorkeurspartner van verzekeraars die zelf onder druk staan. Een bestuurder die kan uitleggen hoe zijn organisatie ervoor staat, ontkomt aan de paniek die straks door de sector trekt. Want die paniek komt. Net zoals bij de AVG in 2018.

Volgens IAPP (opent in nieuw venster) blijft de oorspronkelijke deadline op dit moment juridisch in stand. Vertaal dat. Een toezichthouder die op 3 augustus 2026 belt, kan niet onder de wet uit. Of je advocaat zo'n verhaal voor een rechter wint, mag jij inschatten. Ik zou er niet op rekenen.

Drie dingen die je niet moet onderschatten

Documentatie is niet bijzaak. Het is het werk. Het overgrote deel van een conformity assessment is bewijs leveren. Geen bewijs, geen markering. En bewijs achteraf reconstrueren is duurder dan vooraf vastleggen. Veel duurder.

Leveranciers zijn jouw blinde vlek. Veel AI in de keten zit in tools van derden. Klantenservice-bots, claim-software, fraudemodellen, premieberekenaars. Als zij niet kunnen aantonen dat ze conform zijn, kun jij dat ook niet. Begin nu met die gesprekken. Niet als de Omnibus eindelijk door is.

Bewustzijn gaat aan compliance vooraf. Zolang directie en managementteam (MT) niet weten wat de wet vraagt, blijft elke implementatie aanmodderen. Daarover schreef ik eerder in De blinde vlek in de boardroom. De plicht tot AI-geletterdheid uit artikel 4 begint dus niet onderaan in de organisatie. Hij begint bovenaan.

Hoe je de komende weken gebruikt

Wat zou ik doen als ik morgen begon?

Week één. Maak een overzicht van alle AI-toepassingen. Eigen systemen én die van leveranciers. Maak een lijst, deel hem in op risico, markeer welke hoogrisico zijn onder de AI Act-definities.
Maand één. Wijs eigenaren aan, met naam. Geen werkgroep, geen comité.
Kwartaal één. Doe een eerste proefkeuring op je belangrijkste systeem. Niet om te slagen. Om te ontdekken wat ontbreekt. De gaten die je vindt, vertellen je waar je echt staat.
Daarna. Zet je bewijsproces op. Logging, modeldocumentatie, testresultaten, bias-rapportages, incidentregistratie. Zorg dat het automatisch ontstaat, niet handmatig achteraf.

Of de Omnibus er in mei alsnog doorheen komt of niet, doet er voor jouw planning niet toe. Wachten op Brussel is geen strategie. Het is een gok op iets waar je geen invloed op hebt. En de organisaties die niet gokken, hebben straks de voorsprong die je niet meer inhaalt.

Het uitstel is niet doorgegaan. Maar de echte voorsprong begint niet bij de deadline. Hij begint bij weten dat de wet überhaupt bestaat. Dat ben jij, als je tot hier hebt gelezen. De meeste anderen niet.

Update mei 2026: het uitstel is er alsnog gekomen — en nu?

Op 7 mei 2026, drie dagen na publicatie van dit artikel, is er in de vroege ochtend alsnog een akkoord bereikt in de trilogue. De Digital Omnibus op AI heeft een voorlopig politiek akkoord gekregen tussen het Europees Parlement en de Raad. Het uitstel dat op 28 april sneuvelde op de kwestie rond Annex I — de keuringsarchitectuur voor AI ingebouwd in gereguleerde producten — is uiteindelijk toch doorgedrukt via een compromis.

Wat dat concreet betekent: de hoogrisicoverplichtingen voor losstaande AI-systemen (Annex III) verschuiven naar 2 december 2027. Voor AI ingebouwd in al gereguleerde producten zoals medische apparatuur (Annex I) geldt 2 augustus 2028. Het akkoord moet nog formeel worden aangenomen vóór 2 augustus 2026 om van kracht te worden — en beide instellingen hebben aangegeven dat te willen doen.

Twee dingen die ik wil toevoegen aan wat ik op 4 mei schreef.

Ten eerste: dit is bijna zeker het enige uitstel dat er komt. Wie nu opgelucht achterover leunt en denkt dat Brussel de lat blijft verleggen, heeft het mis. AI Act-specialisten zijn er unisono over: de nieuwe data van december 2027 en augustus 2028 zijn definitief. De gouden paal is geslagen.

Ten tweede: de handhaving op artikel 4 is níét uitgesteld. AI-geletterdheid was verplicht per 2 februari 2025. De handhaving door Nederlandse markttoezichthouders start op 2 augustus 2026 — dat staat, ook met het Omnibus-akkoord. En er zit een wrang detail in het akkoord: het Omnibus-voorstel wil de directe verplichting voor organisaties op artikel 4 verzachten en omzetten naar een aanmoedigingsplicht voor de Commissie en lidstaten. Of dat deel van het voorstel in de definitieve tekst overleeft, is nog niet zeker — maar zelfs als het doorgaat, verandert dat niks aan de praktische urgentie. Wie niet investeert in geletterdheid en een incident krijgt, draait alsnog voor de civiele aansprakelijkheid op.

Mijn conclusie van 4 mei staat nog steeds. Wachten op Brussel is en blijft geen strategie — ook nu het uitstel er is.

Bronnen

TNW over de mislukte trilogue van 28 april: thenextweb.com (opent in nieuw venster)
Modulos analyseert wat het mislukken betekent voor de aug 2026 deadline: modulos.ai (opent in nieuw venster)
IAPP over de juridische status na de mislukte trilogue: iapp.org (opent in nieuw venster)
DLA Piper legt de Digital Omnibus en de uitstelvoorstellen uit: dlapiper.com (opent in nieuw venster)
Implementation Timeline EU AI Act: artificialintelligenceact.eu (opent in nieuw venster)
Autoriteit Persoonsgegevens over artikel 4 AI-geletterdheid: autoriteitpersoonsgegevens.nl (opent in nieuw venster)
Cyprus Presidency Council EU H1 2026: cyprus-presidency.consilium.europa.eu (opent in nieuw venster)