Ga naar inhoud
AI & Governance · 4 mei 2026 · 8 min leestijd

AI Act-uitstel ging niet door. En dat is niet eens je grootste probleem.

Wat de mislukte trilogue van 28 april écht betekent voor bestuurders, verzekeringsintermediairs en ondernemers.

Illustratie bij artikel: AI Act-uitstel ging niet door. En dat is niet eens je grootste probleem.
Door Cédric Puisney – Eigen werk, CC BY-SA 3.0, Wikimedia Commons (opent in nieuw venster)

Op 28 april kwam het uitstelpakket voor de AI Act, de Digital Omnibus, voor de derde keer in onderhandeling. Twaalf uur lang zaten de Europese Commissie, het Parlement en de Raad om tafel met één vraag: schuift de AI Act zestien maanden op? Het werd niets. Geen akkoord. De volgende ronde staat rond 13 mei. En tot er wél iets ligt, blijft de oorspronkelijke deadline van 2 augustus 2026 keihard staan.

Maar dit is niet het echte probleem.

Het echte probleem is dat de meerderheid van de bestuurders, verzekeringsintermediairs en ondernemers überhaupt niet weet dat deze wet bestaat. Laat staan dat ze hadden meegekregen dat er een uitstel op tafel lag dat vorige week sneuvelde.

Dit is geen detail. Dit is precies waar het verschil zit tussen organisaties die straks voorkeurspartner zijn en organisaties die in paniek schaken.

TL;DR De AI Act-onderhandeling van 28 april mislukte op een lastig hoofdstuk over keuringen voor AI in medische apparatuur en machines. Tot er een akkoord ligt, blijft 2 augustus 2026 de deadline. Maar het grootste risico zit niet in Brussel. Het zit in het bewustzijn. De meeste bestuurders weten niet eens dat de wet bestaat. Wie nu inventariseert, governance inricht en aan AI-geletterdheid voldoet, bouwt geen vinklijst maar slagkracht. En dat verschil ga je terugzien in welke partijen straks gekozen worden.

Wat er op 28 april op tafel lag

De AI Act is in 2024 aangenomen. De wet werkt in fasen. Hoog-risico AI-systemen moeten vanaf 2 augustus 2026 voldoen aan zwaardere eisen. Risicomanagement. Datakwaliteit. Transparantie. Menselijk toezicht. Cybersecurity. Voor de verzekeringssector raakt dit alles wat met risicobepaling, premieberekening, claims en fraudedetectie te maken heeft. Dat is niet één randsysteem. Dat is de kern.

Het voorstel in de Digital Omnibus was helder. Hoog-risico verplichtingen voor losse AI-systemen verschuiven naar 2 december 2027. Voor AI die ingebouwd zit in andere gereguleerde producten, naar 2 augustus 2028. Dat klonk als ademruimte.

Het breekpunt op 28 april zat in Annex I. Dat is het hoofdstuk dat regelt hoe AI in al gereguleerde producten gekeurd moet worden. Denk aan medische apparatuur, industriële machines en in-vitro diagnostica. De vraag: hoe verhoudt de AI Act zich tot bestaande veiligheidswetten in die sectoren? Daar kwamen de partijen niet uit. En zonder oplossing daar, geen uitstel. Dat lees je terug bij thenextweb.com (opent in nieuw venster).

Het Cypriotische voorzitterschap van de EU-Raad wil het dossier voor 30 juni rond hebben. Lukt dat niet, dan loopt het door naar het volgende voorzitterschap. En dan zit je in juli 2026, één maand voor de oorspronkelijke deadline. Eén maand.

De bewustzijnskloof is het echte risico

Een wet kan zo streng zijn als hij wil. Als jouw doelgroep niet weet dat de wet bestaat, gaat de wet langs de werkelijkheid heen. En in dit geval doet hij dat ook.

Vraag een gemiddelde bestuurder wat een conformity assessment is. Stilte. Vraag of ze weten dat ze CE-markering moeten halen voor hun fraudemodel. Stilte. Vraag of ze artikel 4 over AI-geletterdheid kennen, dat al meer dan een jaar van kracht is en waar de handhaving straks op start. Stilte.

Dit is geen verwijt. Dit is een systeemfout. De wet is in 2024 aangenomen. De Commissie is nu aan het sleutelen aan een uitstel dat in vakkringen de hele agenda bepaalt. En tegelijk weet de doelgroep waar het allemaal om draait nergens van.

Wat dat betekent voor jou? Als je dit stuk leest, ben je niet meer in de groep die de wet niet kent. Je bent in de minderheid die het wel ziet.

Waarom afwachten de duurste keuze is

Het probleem is niet de deadline. Het probleem is wat er móét vóór de deadline. En dat zien de meesten niet.

Conformity assessment. Drie woorden die in de praktijk al snel een jaar werk betekenen, afhankelijk van hoeveel hoog-risico systemen je raakt. Dat is een proces om vooraf te bewijzen dat je AI voldoet aan de wet. CE-markering is het stempel dat je krijgt als dat bewijs er is. Twee begrippen die boekhoudkundig klinken, maar in de uitvoering een verbouwing zijn.

Hier is mijn punt. Ook als het uitstel er in mei alsnog komt, blijft de tijdsdruk groot. Wil je in december 2027 voldoen, dan moet je in januari 2027 klaar zijn met de invoering. Dat betekent dat je in maart 2026 met de keuring moet starten. Dat betekent dat je nu, in mei 2026, je governance, je documentatie en je AI-overzicht op orde moet hebben. Komt het uitstel er níét, dan heb je nog drie maanden. Niet drie jaar.

Wachten op Brussel is geen strategie. Het is gokken op iets waar je geen invloed op hebt. En het is twee keer fout. Eerst omdat het uitstel niet zeker is. Daarna omdat het werk te groot is om in de resttijd af te ronden.

Wat conformity assessment en CE-markering écht zijn

Hier is de uitleg die ik in de meeste artikelen mis.

Een conformity assessment is geen audit achteraf. Het is een proces waarin je vooraf bewijst dat een AI-systeem voldoet aan de eisen van de AI Act. Voordat het op de markt komt of in gebruik wordt genomen. Voor verzekeraars en intermediairs betekent dit: voor elk AI-systeem dat invloed heeft op kredietwaardigheid, premie, claims of toegang tot een verzekering moet je een dossier kunnen overleggen. Hoe het is getraind. Op welke data. Met welke testresultaten. Welke risico's je hebt gevonden. Hoe mensen er toezicht op houden.

CE-markering is het zichtbare bewijs dat je dit proces hebt doorlopen. Net zoals op een kinderspeeltje of een medisch apparaat. Voor AI is het nieuw. Voor de toezichthouders is het straks de enige manier om te zien of jouw systeem klaar is om mensen mee te beoordelen.

Een conformity assessment bestaat uit vier blokken:

  • Risicomanagement. Een doorlopend, vastgelegd proces om risico's te vinden, te beoordelen en te verkleinen. Niet één keer bij de start. Doorlopend, de hele levensloop van het model.
  • Datakwaliteit en bias-testing. Bewijs dat je trainingsdata representatief zijn, dat je hebt getest op vooroordelen, en dat fouten in je data niet doorwerken in beslissingen die mensen raken. Bij verzekeringen is dat geen abstract idee. Dat is het verschil tussen een eerlijke premie en een afgewezen aanvraag op basis van een postcode.
  • Transparantie en logging. Logbestanden van wat het systeem doet, beslist en aanbeveelt. Documentatie die uit te leggen is aan een toezichthouder die geen specialist is.
  • Menselijk toezicht. Een medewerker die de knop snapt. En die weet wanneer hij hem niet moet drukken.

Elk blok kent eigen documentatie, een eigen verantwoordelijke, een eigen bewijsspoor. Dit is geen invuloefening. Dit is een verbouwing.

En vergeet artikel 4 niet. De plicht tot AI-geletterdheid is al van kracht sinds 2 februari 2025. De handhaving start in augustus 2026. Aldus de Autoriteit Persoonsgegevens (opent in nieuw venster). Dat is geen toekomstig probleem. Dat is een bestaand verzuim als je er nu nog niets mee doet. Hoe je dat in de praktijk aanpakt, schreef ik eerder in AI-trainingsplicht 2026 (opent in nieuw venster).

Hoe je het wel doet: drie sporen tegelijk

Niet wachten op de uitkomst in mei. De oorspronkelijke deadline blijft je ankerpunt. Drie sporen tegelijk.

1. Inventarisatie

Welke AI-systemen draaien er? Welke leveranciers gebruiken AI in de keten? Wat is hoog-risico en wat niet? Een serieuze inventarisatie kost een paar maanden. En dat overzicht blijkt elke keer groter dan vooraf gedacht. Vooral de leveranciers-AI verstopt zich. In CRM, in telefonie, in claim-software, in premieberekenaars, in fraudedetectie. Dingen die je toch al gebruikte en waarvan je niet doorhad dat er een model in zat.

Veel leveranciers in deze keten hebben zelf geen idee wat een conformity assessment is. Geen kwade wil. Geen onkunde. Gewoon nooit met die vraag geconfronteerd. Dat soort gesprekken duurt maanden, niet weken. Begin er dus nu mee.

2. Governance

Wie is verantwoordelijk voor welk systeem? Hoe worden modellen goedgekeurd voordat ze live gaan? Wie ziet incidenten en wie escaleert? Niet opnieuw bedenken. Hang het op aan de risico- en compliance-structuur die je al hebt. Daar moet het toch al landen.

Per systeem één eigenaar voor risico, één voor data, één voor menselijk toezicht. Geen comités. Geen werkgroepen. Eigenaren met naam.

3. Geletterdheid

AI-geletterdheid is geen vrijblijvende cursus en geen toekomstmuziek. De wettelijke plicht uit artikel 4 geldt al meer dan een jaar. Het verschil tussen organisaties die hier serieus in investeren en organisaties die een e-learning afvinken, ga je vanaf augustus terugzien in incidenten en in audits.

En geletterdheid is iets anders dan vaardigheid. Mensen leren werken met ChatGPT is leuk. Mensen leren zien wanneer AI fout zit, leren beoordelen wanneer een uitkomst niet klopt, leren wanneer ze moeten ingrijpen. Dat is wat de wet wil. Dat kost meer dan een ochtend training.

Het verschil tussen vinklijst en slagkracht

Wat je ziet bij organisaties die nu doorpakken: ze bouwen geen vinklijst, ze bouwen slagkracht. Het verschil is groot.

Een vinklijst is afvinken en hopen dat je het nooit hoeft te laten zien. Slagkracht is sneller kunnen reageren als toezichthouders vragen stellen. Slagkracht is een eigen oordeel hebben over welke leveranciers door de selectie komen. Slagkracht is wendbaar zijn als de wetgeving in 2027 alsnog wordt aangescherpt. Want dat gaat gebeuren.

En het commerciële effect is nog groter. Een verzekeringsintermediair die straks kan laten zien dat zijn AI-onderbouwing op orde is, wordt voorkeurspartner van verzekeraars die zelf onder druk staan. Een bestuurder die kan uitleggen hoe zijn organisatie ervoor staat, ontkomt aan de paniek die straks door de sector trekt. Want die paniek komt. Net zoals bij de AVG in 2018.

Volgens IAPP (opent in nieuw venster) blijft de oorspronkelijke deadline op dit moment juridisch in stand. Vertaal dat. Een toezichthouder die op 3 augustus 2026 belt, kan niet onder de wet uit. Of je advocaat zo'n verhaal voor een rechter wint, mag jij inschatten. Ik zou er niet op rekenen.

Drie dingen die ik niemand zou willen besparen

Documentatie is niet bijzaak. Het is het werk. Het overgrote deel van een conformity assessment is bewijs leveren. Geen bewijs, geen markering. En bewijs achteraf reconstrueren is duurder dan vooraf vastleggen. Veel duurder.

Leveranciers zijn jouw blinde vlek. Veel AI in de keten zit in tools van derden. Klantenservice-bots, claim-software, fraudemodellen, premieberekenaars. Als zij niet kunnen aantonen dat ze conform zijn, kun jij dat ook niet. Begin nu met die gesprekken. Niet als de Omnibus eindelijk door is.

Bewustzijn gaat aan compliance vooraf. Zolang directie en MT niet weten wat de wet vraagt, blijft elke implementatie aanmodderen. Daarover schreef ik eerder in De blinde vlek in de boardroom (opent in nieuw venster). De plicht tot AI-geletterdheid uit artikel 4 begint dus niet onderaan in de organisatie. Hij begint bovenaan.

Hoe je de komende weken gebruikt

Wat zou ik doen als ik morgen begon?

  • Week één. Maak een overzicht van alle AI-toepassingen. Eigen systemen én die van leveranciers. Maak een lijst, deel hem in op risico, markeer welke hoog-risico zijn onder de AI Act-definities.
  • Maand één. Wijs eigenaren aan, met naam. Geen werkgroep, geen comité.
  • Kwartaal één. Doe een eerste proefkeuring op je belangrijkste systeem. Niet om te slagen. Om te ontdekken wat ontbreekt. De gaten die je vindt, vertellen je waar je echt staat.
  • Daarna. Zet je bewijsproces op. Logging, modeldocumentatie, testresultaten, bias-rapportages, incidentregistratie. Zorg dat het automatisch ontstaat, niet handmatig achteraf.

Of de Omnibus er in mei alsnog doorheen komt of niet, doet er voor jouw planning niet toe. Wachten op Brussel is geen strategie. Het is een gok op iets waar je geen invloed op hebt. En de organisaties die niet gokken, hebben straks de voorsprong die je niet meer inhaalt.

Het uitstel is niet doorgegaan. Maar de echte voorsprong begint niet bij de deadline. Hij begint bij weten dat de wet überhaupt bestaat. Dat ben jij, als je tot hier hebt gelezen. De meeste anderen niet.

Bronnen