LI Solutions

Het uitstel van de EU AI Act is echt. Je chatbot heeft nog steeds een deadline op 2 augustus.

The EU AI Act delay is real. Your chatbot still has an August 2 deadline.

Belangrijkste inzichten

Het uitstel is echt, maar waarschijnlijk niet voor jou

Het akkoord van 7 mei schuift standalone hoogrisicosystemen door naar 2 december 2027 en AI in gereguleerde producten naar 2 augustus 2028. De transparantieregels maakten nooit deel uit van de deal en gelden nog steeds vanaf 2 augustus 2026.

Chatbots moeten zich vanaf 2 augustus bekendmaken

Als gebruikers redelijkerwijs kunnen denken dat ze met een mens praten, moet het product vertellen dat het AI is. Boetes voor transparantieschendingen lopen op tot 15 miljoen euro of 3% van de wereldwijde omzet.

De respijtperiode voor watermerken is vier maanden, geen uitstel

Generatieve systemen die vóór 2 augustus al op de EU-markt zijn, krijgen tot 2 december 2026 om hun output als AI-gegenereerd te markeren. Alles wat na 2 augustus lanceert, voldoet vanaf dag één.

De AVG wacht niet op de AI Act

Europese gegevensbeschermingsautoriteiten beboeten AI-producten nu al onder bestaande dataregels. Het uitstel verandert daar niets aan, en enterprise-kopers vragen nu al om AI-classificatiememo's.

Twee jaar lang was 2 augustus 2026 de datum die elke uitleg over de EU AI Act rood omcirkelde. Dan zou het zware geschut arriveren: hoogrisicoverplichtingen, conformiteitsbeoordelingen, de technische documentatie die niemand wilde schrijven. Tot de EU-wetgevers op 7 mei overeenkwamen het meeste ervan uit te stellen.

De opluchtingskoppen schreven zichzelf, en de meeste founders scanden ze en gingen verder. Begrijpelijk. Ook een vergissing, want het deel van de verordening dat een typisch softwareproduct daadwerkelijk raakt, schoof niet door naar 2027. Het meeste ervan landt nog steeds op 2 augustus, over vier weken.

Wat er is uitgesteld, wat niet, en wat het waard is om er deze maand aan te doen.

Wat er echt is verschoven

Het akkoord van 7 mei, formeel onderdeel van de Digital Omnibus, de poging van de EU om haar eigen digitale regelboek te vereenvoudigen, herschrijft de kalender van de AI-verordening op drie plekken.

  • Standalone hoogrisicosystemen (Bijlage III): werving en prestatiebeoordeling, kredietscoring, risicoprijzen voor verzekeringen, biometrie, kritieke infrastructuur. Was 2 augustus 2026. Nu 2 december 2027.
  • AI in gereguleerde producten (Bijlage I): medische apparaten, speelgoed, liften, voertuigen. Nu 2 augustus 2028. Ook de definitie van "veiligheidscomponent" is versmald, dus een AI-functie die de gebruiker alleen assisteert of prestaties optimaliseert, zonder een gezondheids- of veiligheidsrisico te creëren, trekt het hele product niet langer het hoogrisicoterrein in.
  • Nationale regulatory sandboxes: lidstaten hebben nu tot 2 augustus 2027 om ze op te zetten.

Er is ook een overgangsregel met echt geld erin: systemen die vóór die data al op de EU-markt zijn, blijven volledig buiten het hoogrisicoregime, tenzij je ze later ingrijpend wijzigt. En de mkb-versoepelingen — waaronder lichtere documentatie en proportionele boetes — gelden nu voor bedrijven met maximaal 750 medewerkers en 150 miljoen euro omzet. Dat dekt vrijwel elk bedrijf waarmee we werken.

Dus staat er AI-ondersteunde werving, kredietbeslissingen of een diagnostische functie in een medisch apparaat op je roadmap, dan kreeg je er net 16 tot 24 maanden bij. Dat deel van de opluchting is echt.

Wat nog steeds op 2 augustus landt

Artikel 50, de transparantieregels. Die maakten nooit deel uit van de uitstelonderhandeling, en ze dekken toevallig precies de AI-functies die de meeste producten daadwerkelijk shippen. Drie verplichtingen, in gewone taal:

  • Als mensen met een AI-systeem interacteren, moeten ze dat weten. Een supportbot, een boekingsassistent, een salesagent op WhatsApp: als een redelijke gebruiker zou kunnen denken dat hij met een mens praat, moet het product het tegendeel zeggen.
  • Genereert of manipuleert je product content — tekst, beeld, audio of video — dan moet de output machineleesbaar als AI-gegenereerd worden gemarkeerd. Dit is de watermerkverplichting.
  • Systemen voor emotieherkenning en biometrische categorisering moeten zichzelf bekendmaken aan de mensen op wie ze gericht zijn.

De ene concessie: generatieve systemen die vóór 2 augustus al op de markt zijn, krijgen tot 2 december 2026 om het watermerken op orde te krijgen. Alles wat na 2 augustus lanceert, voldoet vanaf dag één. Dat is een respijtperiode van vier maanden, geen uitstel.

Boetes voor schending van Artikel 50 lopen op tot 15 miljoen euro of 3% van de wereldwijde omzet, afhankelijk van welke hoger is. Niet de 35 miljoen uit de koppen; die trede is gereserveerd voor verboden praktijken, die al sinds februari 2025 gelden en in december worden uitgebreid naar nudificatie-apps en AI-gegenereerd CSAM. Maar 3% van de omzet omdat je een chatbot niet labelt, is een dure manier om één regel UI-tekst uit te sparen.

De Commissie heeft ook conceptrichtsnoeren en een Code of Practice gepubliceerd over hoe je de transparantieregels in de praktijk implementeert. Definitieve versies worden binnen enkele weken verwacht en zullen waarschijnlijk weinig van de concepten afwijken.

Wat dit betekent voor een typisch product

Bijna niemands product is "een AI-systeem" in abstracto, dus een snelle mapping:

  • Support- of boekingschatbot: disclosureverplichting, 2 augustus. Meestal één eerlijke zin in de interface. De goedkoopste compliance die je dit jaar gaat doen.
  • AI-gegenereerde content in het product: een schrijver van listingbeschrijvingen, een beeldgenerator, marketingcopytools. Machineleesbare markering, met de datum van 2 december als je vóór 2 augustus al live was. Houd de definitieve Code of Practice in de gaten voor wat als compliant markeren telt.
  • Wervings-, scoring- en verzekeringsfuncties: december 2027. Maar de geharmoniseerde normen waartegen je zou bouwen, zijn mogelijk pas vlak voor die datum definitief — precies wat er bij de oorspronkelijke deadline gebeurde. De teams die op de normen wachten, bouwen straks weer tegen de klok.
  • Gezondheidsproducten: zit de AI in een gereguleerd apparaat, dan wacht de AI Act nu tot 2028. MDR- en FDA-regels zijn ondertussen nergens heen gegaan, en die blijven de bindende beperking.

En één ding pauzeert het uitstel niet: de AVG. Europese gegevensbeschermingsautoriteiten hebben al AI-producten beboet en specifiek gebruik van modellen geblokkeerd. Dataminimalisatie, doelbinding en transparantie over geautomatiseerde beslissingen gelden vandaag, op volle sterkte, voor dezelfde functies waarvan de AI Act-deadline net is verschoven. Een uitgestelde verordening is geen regelvrij vacuüm.

Wat de moeite waard is in juli

Geen complianceprogramma. Vier middagen werk:

  1. Inventariseer je AI-functies langs de vier categorieën van de verordening: verboden, hoogrisico, alleen transparantie, minimaal. Voor de meeste producten is het eerlijke antwoord één of twee transparantiepunten en verder niets. Schrijf het op. Een classificatiememo van één pagina is het eerste waar een toezichthouder — of het inkoopteam van een enterprise-klant — om vraagt.
  2. Ship de chatbot-disclosure. Eén zin in de UI, klaar vóór 2 augustus.
  3. Genereer je content, kies dan nu een markeeraanpak en volg de concept-Code of Practice. In november metadata achteraf inbouwen over maanden aan opgeslagen output doet aanzienlijk meer pijn.
  4. Check of de verruimde midcap-versoepeling jou dekt. Onder de 750 medewerkers en 150 miljoen euro omzet is dat waarschijnlijk zo, en het verandert zowel je documentatielast als je boeterisico.

Eén kanttekening: de deal van 7 mei is een politiek akkoord, nog geen wet. Parlement en Raad zullen hem naar verwachting eind juli formeel aannemen, net vóór de oude deadline. De data gelden als vaststaand; de kleine lettertjes niet. Of de algemene AI-geletterdheidsplicht overleeft, bijvoorbeeld, ligt nog open. Bouw tegen de bovenstaande data, en laat iemand de definitieve tekst herlezen zodra die in het Publicatieblad verschijnt.

Veelgestelde vragen

Geldt de AI Act ook voor bedrijven buiten de EU?

Ja. Net als de AVG en de Cyber Resilience Act volgt de AI Act het product de markt op, niet het bedrijf. Is je AI-functie beschikbaar voor gebruikers in de EU, dan draag je de verplichtingen, ongeacht waar je geregistreerd staat. Een Amerikaanse startup met EU-klanten valt binnen de scope.

Wat geldt er precies op 2 augustus 2026?

Artikel 50, de transparantieregels: mensen die met een AI-systeem interacteren moeten te horen krijgen dat het AI is, AI-gegenereerde of gemanipuleerde content moet machineleesbaar worden gemarkeerd, en systemen voor emotieherkenning of biometrische categorisering moeten zichzelf bekendmaken. Generatieve systemen die vóór die datum al op de markt zijn, krijgen tot 2 december 2026 voor het markeren van content. De hoogrisicoverplichtingen schoven naar december 2027 (standalone) en augustus 2028 (in gereguleerde producten).

Wij bouwen op de API's van OpenAI of Anthropic. Zijn deze verplichtingen van ons of van hen?

Allebei, op verschillende lagen. De modelaanbieders dragen de verplichtingen voor general-purpose AI (GPAI), die al sinds augustus 2025 gelden. Maar het bedrijf dat het product voor gebruikers neerzet, draagt de plichten op productniveau. Presenteert je app een chatbot, dan is de disclosure van jou. Genereert je product content onder jouw merk, dan is de markeerplicht effectief ook van jou, ook al is het onderliggende model gehuurd.

Is het uitstel eigenlijk wel definitief?

Niet helemaal. 7 mei was een politiek akkoord tussen de EU-instellingen; formele aanname door Parlement en Raad wordt eind juli 2026 verwacht, net vóór de oude deadline. De data gelden als vaststaand, maar de definitieve tekst is nog niet gepubliceerd, en sommige details — zoals of de AI-geletterdheidsplicht overleeft — liggen nog open.