en:twine
AI Strategie & Compliance 8 mei 2026

EU AI Act na het Omnibus-akkoord van 7 mei 2026: wat Nederlandse zakelijke dienstverleners nu moeten doen

Het Omnibus-akkoord van 7 mei 2026 verschuift de high-risk-deadlines van de EU AI Act naar 2 december 2027 (Annex III) en 2 augustus 2028 (Annex I). Voor zakelijke dienstverleners betekent dat extra ademruimte, niet uitstel van denken. Een concreet plan.

D
Dennis Verstappen
AI Architectuur, strategie & commercie

Op 7 mei 2026 werd een voorlopig politiek akkoord bekendgemaakt tussen de Council presidency en onderhandelaars van het Europees Parlement over de Digital Omnibus on AI. De kernuitkomst voor zakelijke dienstverleners: de toepassing van de high-risk-regels schuift volgens dit akkoord door naar 2 december 2027 voor Annex III-systemen en 2 augustus 2028 voor Annex I product-embedded systemen. Het akkoord moet nog formeel worden aangenomen, maar de richting is helder: de klok is teruggedraaid, niet uitgezet.

Wat hetzelfde blijft: de risicogebaseerde architectuur van de Act, de verplichtingen voor high-risk-systemen, de boetestructuur. Wat verandert: u heeft achttien maanden meer tijd om uw governance, documentatie en human-oversight op te zetten dan u dacht. En een nieuwe verplichting: AI-watermerken voor synthetische content moeten op 2 augustus 2026 geïmplementeerd zijn (kortere overgangsperiode dan eerder voorgesteld).

Voor zakelijke dienstverleners die AI al gebruiken in klantwerk, interne kennisprocessen, recruitment, documentanalyse of adviesvoorbereiding, is dit het moment om niet stil te zitten. De extra tijd betekent geen uitstel maar verlichting van de crunch. Dit artikel zet uit wat in de tussentijd zinvol is om te doen.

Voor zakelijke dienstverleners is dat geen randdetail. AI raakt al snel aan klantdossiers, personeelsbeslissingen, adviesvoorbereiding, documentanalyse en interne kennisdeling. Niet elk systeem is high-risk, maar sommige toepassingen vragen wel duidelijke classificatie, documentatie, menselijk toezicht en uitlegbaarheid. De boetes onder Artikel 99 zijn gelaagd: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet voor verboden AI-praktijken (Artikel 5), tot 15 miljoen euro of 3 procent voor de meeste high-risk-overtredingen, en tot 7,5 miljoen euro of 1 procent voor onvolledige of misleidende informatie aan toezichthouders. Voor MKB-bedrijven geldt het lágere bedrag, niet het hogere, een belangrijke nuance die in de pers vaak wegvalt.

Bij grote organisaties zijn compliance-teams hier al een jaar mee bezig. Voor Nederlandse zakelijke dienstverleners van twintig tot honderd fte ligt het verhaal anders. De middelen om er een compliance-team op te zetten zijn beperkt. De documentatie van bestaande AI-toepassingen is vaak gefragmenteerd. En het is verleidelijk om te denken dat de Act vooral over de grote spelers gaat, terwijl de tekst geen omzetdrempel kent voor high-risk classification.

Dit artikel is voor de zakelijke dienstverlener die in 2026 nog niet begonnen is, of die AI al gebruikt maar niet weet waar governance moet starten. We zetten de essentie en een realistische zes-maanden roadmap op een rij.

Waar uw AI-systemen waarschijnlijk in vallen

De EU AI Act onderscheidt vier risiconiveaus: onaanvaardbaar, high-risk, beperkt risico, en minimaal risico. Voor zakelijke dienstverleners zijn vooral high-risk, beperkt risico en generatieve-AI-transparantie relevant.

Onaanvaardbaar verboden zijn bijvoorbeeld social scoring-systemen en bepaalde vormen van biometrische identificatie. Voor de meeste zakelijke dienstverleners zijn deze grenzen niet de dagelijkse praktijk, maar het is belangrijk om gedocumenteerd te hebben dat u ze niet overschrijdt.

Onder high-risk vallen volgens Annex III onder meer systemen die werknemers werven, beoordelen of hun werk monitoren. Ook systemen die toegang tot opleiding, werk of essentiële diensten beïnvloeden kunnen high-risk zijn. Voor zakelijke dienstverleners zijn vooral HR-toepassingen, personeelsmonitoring en klantimpactvolle beslisondersteuning relevant.

Wat dat in de praktijk betekent voor een Nederlandse zakelijke dienstverlener. Gebruikt u AI-tooling voor het screenen van CV’s bij sollicitaties of voor performance-monitoring? High-risk. Gebruikt u een AI-tool die klantdossiers prioriteert, risico-inschattingen maakt of adviezen voorbereidt? Dan moet u documenteren of het systeem alleen ondersteunt of feitelijk beslissingen beïnvloedt. Gebruikt u generatieve AI voor klantcommunicatie, rapporten of marketingcontent? Dan spelen vooral transparantie, controle en brongebruik.

Veel kantoorautomatisering, kenniszoektools en conceptgeneratoren vallen niet automatisch onder high-risk. Maar ook bij beperkt risico blijft governance nodig: welke data mag erin, wie controleert de output, hoe voorkomt u hallucinaties in klantwerk, en wanneer moet een mens expliciet accorderen?

Wat de Act concreet vereist voor high-risk-systemen

Acht eisen, hier samengevat naar wat ze in de praktijk betekenen voor een mkb-organisatie zonder eigen compliance-engineer.

Risk management system. Een gedocumenteerd proces dat risico’s van het AI-systeem in kaart brengt en gedurende de levenscyclus monitort. Niet eenmalig, maar als levend document.

Data governance. Bewijs dat uw data passend, rechtmatig en controleerbaar is. Voor zakelijke dienstverleners gaat dit vaak over klantdocumenten, interne kennisbanken, personeelsdata en vertrouwelijke projectinformatie. Juist daar is de vraag niet alleen wat technisch kan, maar wat u contractueel en professioneel mag gebruiken.

Technische documentatie. Een document dat in detail beschrijft wat het systeem doet, hoe het werkt, hoe het getraind is, welke beperkingen het heeft, en hoe het in productie ingezet wordt. Annex IV van de Act geeft een uitgebreide template.

Record-keeping en logging. Het systeem moet zelfstandig log-events genereren die later auditeerbaar zijn. Niet wat uw model deed in mei, maar elke individuele beslissing die het maakte met inputs en confidence scores.

Transparantie naar gebruikers en betroffenen. Klanten moeten weten dat een AI-systeem in hun beslissing is meegegaan, wat de implicaties zijn, en hoe ze bezwaar kunnen maken.

Human oversight. Een mens moet kunnen ingrijpen, en de bevoegdheid en kennis hebben om dat zinvol te doen. Voor klantadvies, HR-beslissingen en documentanalyse betekent dat: AI-output wordt beoordeeld door iemand die verantwoordelijkheid kan nemen voor het eindresultaat.

Accuracy, robustness en cybersecurity. Het systeem moet betrouwbaar werken onder reële omstandigheden, bestand zijn tegen pogingen om het te manipuleren, en cybersecurity-eisen halen die proportioneel zijn aan de impact.

Conformity assessment, registratie en CE-markering. Formele beoordelings- en documentatieplichten hangen af van het type systeem en uw rol. Bouwt of levert u het systeem zelf, dan zit u dichter op provider-verplichtingen. Gebruikt u een vendor-tool, dan ligt een deel bij de leverancier, maar u blijft verantwoordelijk voor correct gebruik, toezicht en documentatie binnen uw eigen proces.

Een zes-maanden roadmap voor mkb-zakelijke dienstverleners

Maand één: inventarisatie en classificatie. Maak een lijst van alle AI- en ML-systemen die in uw organisatie draaien of overwogen worden. Klassificeer per systeem de risicocategorie. Belangrijk: shadow AI hoort er ook bij. Tools die uw medewerkers gebruiken zonder formele goedkeuring, ChatGPT-flows die in een specifieke afdeling zijn geïmplementeerd, of API’s van derden waar uw eigen producten op leunen. De Microsoft/LinkedIn Work Trend Index 2024 vond dat 75 procent van kenniswerkers generatieve AI gebruikt op het werk, en dat 78 procent daarvan eigen AI-tools meeneemt naar de werkomgeving. Gartner waarschuwde in november 2025 dat 40 procent van organisaties tegen 2030 een security- of compliance-incident door shadow AI zal meemaken. Voor governance maakt dat wel verschil: u moet weten welke AI-systemen in de organisatie worden gebruikt, ook wanneer ze niet centraal zijn ingekocht.

Maand twee: prioritering en gap-analyse. Voor elk high-risk-systeem: welke vereisten haalt u nu, welke niet. Maak dit concreet. Niet “we hebben enige documentatie”, maar “we voldoen aan zes van de acht punten van Annex IV, hier zijn de twee gaps”.

Maand drie: governance framework. Een schriftelijk beleid voor hoe uw organisatie AI ontwikkelt, inkoopt, beoordeelt en monitort. Een AI-comité of vergelijkbaar besluitvormingsorgaan met duidelijke mandaten. Acceptable use policies voor uw medewerkers. Procedures voor incident response bij modelfailure of security-event.

Maand vier: technische documentatie en logging. Voor uw belangrijkste high-risk-systeem: schrijf de Annex IV-documentatie. Implementeer logging dat compliant is. Test of u uit de logs één willekeurige beslissing van vorige week kunt reconstrueren met alle inputs.

Maand vijf: human oversight en transparantie. Pas uw klantcommunicatie aan voor automatische beslissingen. Implementeer een review-workflow voor edge cases. Train uw medewerkers in wanneer en hoe ze het AI-systeem zouden moeten override.

Maand zes: formele beoordeling en besluitvorming. Bepaal per high-risk-systeem welke verplichtingen bij u liggen en welke bij een leverancier. Verzamel de technische documentatie, leg vast hoe menselijk toezicht werkt, en documenteer of registratie, conformity assessment of aanvullende vendor-evidence nodig is voordat het systeem verder wordt ingezet.

Veelgemaakte missers

Drie patronen die we zien bij zakelijke dienstverleners die te laat starten.

Ze zien de Act als een compliance-vinkje en delegeren het aan de jurist. Het is een operationele transformatie die documentatie, processen en cultuur aanpast. Een jurist alleen kan dat niet leveren.

Ze focussen op de tools die ze zelf bouwen en vergeten de tooling die ze inkopen. Een SaaS die u gebruikt voor recruitment, kennismanagement, klantanalyse of documentreview kan ook AI Act-relevant zijn. Als deployer blijft u verantwoordelijk voor correct gebruik, ook wanneer de leverancier de techniek levert.

Ze stellen het uit. Met het Omnibus-akkoord lijkt december 2027 nu ver weg, en dat is precies de val. Governance, documentatie, logging en human oversight bouwt u niet in de laatste weken voor een deadline. Zeker wanneer klantwerk, auditcycli en operationele prioriteiten meespelen, is vroeg beginnen meestal goedkoper dan laat repareren.

Wat een externe partner kan doen

Voor een zakelijke dienstverlener die intern geen compliance-engineer of AI-specialist heeft, is dit type werk meestal niet zelf op te lossen, in elk geval niet naast de operatie. Wat een externe partner praktisch toevoegt: de inventarisatie en gap-analyse in een paar weken in plaats van maanden, een governance framework dat aangepast wordt op uw situatie in plaats van vanaf nul opgebouwd, en een AI Improvement Plan dat compliance koppelt aan businesswaarde, zodat u niet zes maanden lang alleen administratief werk doet.

Onze AI Strategie & Compliance expertise is hier specifiek op gebouwd, en de pagina Zakelijke Dienstverlening gaat dieper in op sector-specifieke implicaties. De AI Readiness Scan is het natuurlijke startpunt: in 10 minuten weet u waar u staat, welke quick wins er zijn die compliance niet onnodig complex maken, en wat de roadmap er voor u uitziet.

Wat u in elk geval niet moet doen, is denken dat het Omnibus-akkoord betekent dat de Act softer wordt. Hij wordt niet softer. De architectuur, de boetes en de verplichtingen blijven staan. Alleen de implementatieklok loopt anders. December 2027 is geen verre toekomst voor wie de governance, audit trails en documentatie vanaf nul moet opzetten. Compliance vóór de nieuwe deadline blijft een concurrentievoordeel: zakelijke dienstverleners die governance vroeg goed regelen winnen vertrouwen bij klanten, verkleinen risico in klantwerk en kunnen AI sneller verantwoord inzetten.

Eén uitzondering die wél eerder hard wordt: vanaf 2 augustus 2026 moeten AI-systemen die synthetische content genereren (chatbots, image generators, content tools) hun output technisch markeren. Voor zakelijke dienstverleners die generatieve AI inzetten in klantcommunicatie, rapportages, kennisdeling of marketing, is dat een kortetermijntodo die niet door het Omnibus-uitstel verdwijnt.

VOLGENDE STAPAAN DE SLAG

Wilt u dit voor uw eigen bedrijf in kaart brengen?

De AI Readiness Scan duurt 10 minuten en geeft direct inzicht in welke processen u als eerste zou moeten aanpakken, met indicatie van ROI per use case.