Op 7 mei 2026 sloten de Raad van de EU en het Europees Parlement een politiek akkoord over het Digital Omnibus-pakket. De hoofdlijn: de zwaarste verplichtingen van de AI Act voor high-risk systemen worden met meer dan een jaar uitgesteld. Voor Belgische KMO's lijkt dat ademruimte — maar dat is een verkeerde lezing. Augustus 2026 blijft een harde compliance-datum, en de regels die al meer dan een jaar van kracht zijn, worden voor het eerst handhaafbaar.
Wat is er op 7 mei 2026 beslist?
Het provisionele akkoord schuift de toepasselijkheid van de high-risk regels op twee manieren op. Standalone high-risk AI-systemen onder Annex III — denk aan AI in recruitment, kredietscoring, onderwijs of biometrie — krijgen tot 2 december 2027 de tijd. High-risk AI die in gereguleerde producten verwerkt is (Annex I — bv. liften, speelgoed, medische apparatuur) krijgt tot 2 augustus 2028. De Commissie motiveert het uitstel met de afwezigheid van geharmoniseerde technische standaarden — bedrijven kunnen niet conform zijn met regels waarvan de uitvoeringsdetails nog ontbreken.
De Omnibus breidt ook de KMO-faciliteiten uit: vereenvoudigde technische documentatie, verlaagde boetes en toegang tot reguleringssandboxen — vroeger enkel voor bedrijven onder 250 medewerkers — worden nu beschikbaar voor "small mid-caps" tot 750 medewerkers en €150 miljoen jaaromzet. Voor zo goed als alle Vlaamse KMO's betekent dat: je valt onder het lichtere regime.
Wat al van kracht is — en niet wordt uitgesteld
Twee verplichtingen lopen al en blijven onaangetast. Sinds 2 februari 2025 verbiedt de AI Act een lijst praktijken volledig: social scoring, emotie-detectie op de werkvloer of in scholen, untargeted scraping van gezichten en manipulatieve AI die kwetsbaarheden uitbuit. Inbreuk op die verbodsregels kan oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet — de hoogste boete-vork in het Europese AI-recht. Voor een KMO die per ongeluk een HR-screening-tool met emotie-detectie inzet, is dat geen theoretisch risico.
De tweede verplichting is Article 4 — AI literacy. Sinds 2 februari 2025 moeten alle aanbieders én gebruikers van AI-systemen "voldoende AI-geletterdheid" bij hun medewerkers garanderen — niet enkel high-risk gebruikers. Concreet: iemand die ChatGPT, Copilot of Claude voor klantwerk gebruikt, moet weten waar de tool faalt, welke data hij erin mag gooien, en hoe hij output verifieert. De Europese Commissie publiceert in haar Living Repository of AI Literacy Practices inmiddels meer dan 40 voorbeelden van formele trainings en awareness-initiatieven. Belangrijk detail: de handhavingsbevoegdheid voor Article 4 start pas op 3 augustus 2026. Dat verklaart waarom de meeste Belgische KMO's er vandaag mee wegkomen — en waarom dat over tweeënhalve maand verandert.
2 augustus 2026: wat KMO's wel klaar moeten hebben
De deadline van 2 augustus 2026 is na het Omnibus-akkoord niet verschoven. Wat dan in werking treedt: Article 50, de transparantie-verplichtingen. Concreet drie punten.
Chatbots moeten zichzelf identificeren. Elke website-chatbot, virtuele assistent of voice-bot die met klanten praat moet duidelijk maken dat de gesprekspartner een AI is — niet alleen in een footer-disclaimer, maar in het gesprek zelf. Voor een KMO met een Crisp-, Tidio- of custom chatbot op de site: een driepunts-aanpassing aan de welkomstboodschap volstaat meestal, maar het moet wél gebeuren.
AI-gegenereerde content moet zichtbaar gelabeld worden. Synthetische beelden, audio of video gemaakt door AI — AI-portretten op je teampagina, een AI-voice-over in een productdemo — moeten machine-leesbaar gelabeld zijn (metadata of watermark). Voor publiek-relevante AI-tekst geldt eveneens een disclosure-plicht, tenzij menselijke editorial-verantwoordelijkheid expliciet ingericht is. De Commissie publiceert een definitieve Code of Practice rond labeling in juni 2026, vlak vóór de inwerkingtreding.
Deepfakes moeten als zodanig herkenbaar zijn. Voor de meeste KMO's geen issue, maar wel relevant voor marketing- of creatieve agencies die met generative video werken. Vanaf 2 augustus 2026 worden ook de boetes voor general-purpose AI (GPAI) providers — OpenAI, Anthropic, Google — effectief, en krijgt het AI Office zijn volle handhavingsbevoegdheid.
De Belgische context: een paradox
Volgens Eurostat-data (2026) hoort België met 34,5% AI-adoptie bij ondernemingen bij de top 4 van de EU, na Denemarken, Finland en Zweden. Maar dat gemiddelde verbergt een kloof. Slechts 14,4% van de Belgische micro-ondernemingen (1-9 medewerkers) gebruikt actief AI, tegenover 35,7% van de middelgrote bedrijven. En zoals Sparagus.be eerder dit jaar publiceerde: 75% van de Belgische KMO's met AI heeft géén governance-beleid op papier. Die combinatie — snelle adoptie, geen governance — is exact waarop de AI Act mikt.
Een bijkomende complicatie: de Belgische wetgever heeft nog geen nationale supervisor of nationale sanctie-regels formeel aangeduid. De FOD Economie wordt als kandidaat genoemd, maar finaal kader wordt pas later in 2026 verwacht. Dat betekent niet dat je beneden de radar zit — de EU-boetes blijven onverkort gelden — maar wel dat de praktische handhavingscapaciteit voorlopig beperkt is. Dat is voor 12 maanden een venster, geen permanente immuniteit.
Drie concrete acties vóór augustus 2026
1. AI-inventaris opstellen. Welke tools gebruikt je team — bekend én onbekend (shadow IT)? ChatGPT-accounts, Copilot in Office, AI-features in je CRM, een chatbot op de site? Maak een lijst, wijs één eigenaar per tool aan. Zonder inventaris kan je het minimum van Article 4 niet aantonen.
2. Article 4-minimum invullen. Eén interne pagina of korte sessie waarin je medewerkers leert: wat mag en niet mag in een AI-prompt, welke data is gevoelig (klantgegevens, NDA-content, persoonsgegevens), hoe verifieer je AI-output. Niet meer dan een half uur per medewerker — maar gedocumenteerd, met datum en lijst van deelnemers.
3. Chatbot-disclosure activeren. Als je een AI-chatbot live hebt op de site: voeg deze maand al een AI-disclosure toe aan de eerste boodschap. "Hoi, ik ben een AI-assistent van [bedrijf]." Drie zinnen werk, ruim binnen de regels van 2 augustus.
Bij Toshi Labs bouwen we voor Belgische KMO's afgeschermde AI-toepassingen mét de compliance-laag erbij — geen aparte audit achteraf, maar geïntegreerd vanaf de eerste sprint. Wil je weten waar jouw bedrijf vandaag staat op de drie verplichtingen hierboven? Neem vrijblijvend contact op, dan lopen we het samen door.