De Europese Commissie presenteerde vandaag het Digital Omnibus Package. Hiermee doet de EC een voorstel dat de bestaande digitale regelgeving vereenvoudigt, zodat bedrijven sneller kunnen innoveren en minder administratieve druk ervaren. Het gaat hier om een voorstel, dat ook nog goedgekeurd moet worden door het Europees Parlement en de Europese Raad (van regeringsleiders van lidstaten). Het is dus nog niet zeker dat het voorstel er in de huidige vorm ook echt gaat komen. Voor Nederland en het AIC4NL-ecosysteem zijn vooral twee onderdelen belangrijk: de versoepeling van de AI Act en de aanpassingen in de GDPR (in relatie tot AI).
Vereenvoudiging van de AI-act
De Commissie publiceert een correctiepakket van 65 pagina’s dat de toepassing van de AI Act afzwakt en vertraagt. Redenen hiervoor zijn de trage aanwijzing van toezichthouders binnen de EU, de vertraagde geharmoniseerde standaarden van CEN-CENELEC (nu verwacht in december 2026) en signalen uit het bedrijfsleven dat de lasten en onduidelijkheden te groot zijn. Met deze aanpassing verwacht de Commissie een lastenreductie van circa €297 tot €433 miljoen.
De belangrijkste voorgestelde wijzigingen zijn:
- Meer flexibiliteit voor hoog-risicosystemen: verplichtingen gelden uiterlijk vanaf 2 december 2027 (Annex III) en 2 augustus 2028 (Annex I).
- Uitbreiding van uitzonderingen voor mkb en startups: vooral eenvoudigere documentatie- en kwaliteitsmanagementvereisten bij hoog-risicotoepassingen.
- Sterkere rol voor het AI Office: dit orgaan krijgt meer handhavingsbevoegdheden en kan pre-market conformity assessments uitvoeren voor GPAI-modellen.
- Ruimte voor een EU-brede AI-sandbox: om veilig te kunnen experimenteren met AI-toepassingen.
- Verschuiving van de AI-geletterdheidverplichting: deze komt niet langer bij aanbieders en gebruikers te liggen, maar bij lidstaten en de Commissie.
Vereenvoudiging van de GDPR voor AI-toepassingen
De Commissie stelt daarnaast voor om de GDPR innovatievriendelijker te maken. Dit moet zorgen voor meer bruikbare data bij het ontwikkelen en trainen van AI-systemen. De kern van de voorgestelde wijzigingen:
- Een smallere definitie van persoonsgegevens: alleen data die direct een persoon identificeren, vallen hieronder.
- Het trainen van AI op persoonsgegevens wordt gezien als gerechtvaardigd belang, waardoor dataverwerking voor trainingsdoeleinden makkelijker wordt.
Wat betekent dit voor Nederland?
Met het Digital Omnibus Package zet de Europese Commissie een belangrijke stap richting een eenvoudiger, innovatievriendelijker digitaal regelgevingskader. Voor het Nederlandse AI-ecosysteem kunnen de voorgestelde versoepelingen van de AI Act en de GDPR substantiële verlichting bieden. Tegelijkertijd blijft het slechts een voorstel: de komende maanden zullen onderhandelingen in Brussel bepalen welke elementen daadwerkelijk worden doorgevoerd. Vanuit Waarden, Normen & Regelgeving (WNR) volgen wij deze ontwikkelingen op de voet en blijven we onze deelnemers tijdig informeren over de implicaties voor beleid, toezicht en innovatie. Zodra er meer duidelijkheid is over het uiteindelijke pakket, komen wij terug met een nadere duiding en praktische handvatten.
