Op 29 juni 2026 verleende de Raad van de Europese Unie definitieve goedkeuring aan de Digital Omnibus on AI, waarmee de hoogrisicoverplichtingen van de EU AI Act werden uitgesteld van 2 augustus 2026 naar 2 december 2027 voor zelfstandige systemen en naar 2 augustus 2028 voor AI die in gereguleerde producten is geïntegreerd. De stemming kwam vijf weken voor de oorspronkelijke deadline, na twee mislukte trilogen in april en mei 2026 die compliance teams achterlieten met de vraag of de deadline waarop zij toewerkten wel of niet zou blijven bestaan.

Het uitstel is geen terugtrekking van handhaving. In dezelfde periode van 2026 legde de Europese Commissie Temu een boete van 200 miljoen euro op onder de Digital Services Act, bevestigde het Ierse High Court een GDPR boete van 530 miljoen euro tegen TikTok, en gingen nationale toezichthouders van "observatiemodus" naar actieve DORA inspecties in de banken en verzekeringssector. Europa's regelboek voor AI, data en platforms wordt tegelijk herschreven en gehandhaafd, op verschillende klokken die zelden gelijk lopen.

Voor AI governance leads, DPO's en digital compliance officers die de EU, het VK en Zwitserland dekken, is die combinatie, verschuivende deadlines naast actieve boetes, de feitelijke werkomgeving voor de rest van 2026.

Is de hoogrisicodeadline van de EU AI Act nog steeds 2 augustus 2026?

Niet zodra de Digital Omnibus on AI wordt gepubliceerd in het Publicatieblad, wat in juli 2026 wordt verwacht, drie dagen waarna deze in werking treedt. Verordening (EU) 2024/1689 stelde oorspronkelijk 2 augustus 2026 vast voor hoogrisicosystemen van Bijlage III, met gebruiksgevallen op het gebied van werving, kredietscoring, biometrische identificatie, onderwijs, migratie en wetshandhaving, en 2 augustus 2027 voor productgeïntegreerde systemen van Bijlage I. Het Europees Parlement keurde de Omnibus tekst goed op 16 juni 2026 met 423 stemmen voor, en de goedkeuring door de Raad op 29 juni 2026 legde de nieuwe data vast op respectievelijk 2 december 2027 en 2 augustus 2028.

Twee verplichtingen bewegen in de omgekeerde richting. De overgangsperiode voor het watermerken en labelen van AI gegenereerde content onder Artikel 50 werd verkort van zes naar drie maanden, waardoor een nieuwe deadline van 2 december 2026 vooruit wordt gehaald voor systemen die al op de markt zijn, en de Omnibus voegt een volledig verbod toe op het genereren van niet consensuele seksuele of intieme content en AI gegenereerd materiaal van seksueel kindermisbruik, een bepaling zonder enig uitstel. Totdat de tekst het Publicatieblad passeert, blijft de oorspronkelijke datum van 2 augustus 2026 juridisch bindend, dus organisaties die systemen classificeren onder Bijlage III kunnen niet zomaar afwachten.

Hoe agressief handhaaft de Europese Commissie de Digital Services Act?

Agressief genoeg om binnen zes maanden twee boetes met negen cijfers op te leggen. Op 5 december 2025 legde de Commissie X een boete van 120 miljoen euro op, haar eerste DSA niet naleving besluit, wegens het misleidende ontwerp van het blauwe verificatievinkje, een advertentiearchief dat niet voldeed aan de openbaarmakingsregels van Artikel 39, en belemmeringen voor onderzoekerstoegang tot publieke data die Artikel 40(12) schonden. X kreeg 60 werkdagen om het vinkjeprobleem op te lossen en 90 werkdagen om een volledig herstelplan in te dienen, en ging in beroep tegen het besluit bij het Gerecht van de Europese Unie in februari 2026, waarmee het de eerste juridische toets van DSA handhaving werd.

Op 28 mei 2026 legde de Commissie Temu een boete van 200 miljoen euro op, 0,38% van haar wereldwijde omzet van 53 miljard euro, wegens het niet uitvoeren van een adequate risicobeoordeling die in staat is illegale en gevaarlijke producten op haar marktplaats te identificeren. Temu heeft tot 28 augustus 2026 om een correctief actieplan in te dienen, en het bredere onderzoek van de Commissie naar de aanbevelingssystemen en contentmoderatie van Temu blijft open. Beide zaken waren gebaseerd op de systeemrisicoverplichtingen van Artikel 34 en 35, dezelfde bepalingen die elk zeer groot online platform en zoekmachine onder continu toezicht van de Commissie houden, een gebied waar per platform regelgevingsmonitoring een nieuw onderzoek de dag opvangt dat het opent, in plaats van de dag dat het het nieuws haalt.

Welke toezichthouder beslist eigenlijk over een GDPR zaak wanneer data landsgrenzen overschrijdt?

Onder het one-stop-shop mechanisme is dat de gegevensbeschermingsautoriteit waar het bedrijf zijn belangrijkste EU vestiging heeft, en voor de meeste wereldwijde platforms betekent dat Ierland. Het besluit van de Ierse Data Protection Commission van 2 mei 2025 legde TikTok een boete van 530 miljoen euro op, 45 miljoen wegens het niet correct informeren van gebruikers onder Artikel 13(1)(f) en 485 miljoen wegens onrechtmatige overdrachten van EER gebruikersdata naar China onder Artikel 46(1), na de vaststelling dat TikTok niet kon verifiëren dat haar Standaardcontractbepalingen de EER data een niveau van bescherming boden dat wezenlijk gelijkwaardig is aan wat de GDPR vereist. Op 3 juni 2026 bevestigde het Ierse High Court zowel de aansprakelijkheidsvaststelling als het boetebedrag, hoewel het de opdracht tot opschorting van toekomstige overdrachten terugstuurde naar de toezichthouder voor heroverweging, waardoor TikTok Europese data naar China kan blijven verplaatsen terwijl dat specifieke punt wordt herzien.

De cumulatieve boetes van de Ierse DPC bedragen nu in totaal 4,04 miljard euro sinds 2018, nog steeds aangevoerd door het Meta besluit van 1,2 miljard euro uit 2023. Over alle EU toezichthoudende autoriteiten heen zet DLA Piper's onderzoek van januari 2026 de handhaving van 2025 op ongeveer 1,2 miljard euro, gelijk aan 2024 en waardoor het totaal binnen de hele EU sinds de inwerkingtreding van de GDPR in 2018 op 7,1 miljard euro komt. Voor een compliance officer is de praktische les dat de keuze van de leidende autoriteit geen administratieve formaliteit is, het bepaalt welke handhavingshouding, timing en bereidheid tot grensoverschrijdende boetes daadwerkelijk het dossier bepaalt.

Wordt de GDPR zelf herschreven naast de AI Act?

Ja, via hetzelfde Digital Omnibus pakket, voorgesteld door de Commissie op 19 november 2025 als COM(2025) 837. Het voorstel zou persoonsgegevens opnieuw definiëren zodat gepseudonimiseerde data niet als persoonsgegevens worden beschouwd voor een entiteit die niet over de middelen beschikt om de betrokken persoon opnieuw te identificeren, bedrijven laten steunen op de gerechtvaardigd belang grondslag van de GDPR om AI modellen te trainen of te exploiteren onder bepaalde waarborgen, cookie toestemmingsregels verplaatsen uit de ePrivacy Richtlijn naar de GDPR met eenmalige klik toestemming die zes maanden geldig is, en één centraal meldpunt creëren voor datalekken en cyberbeveiligingsincidenten.

Het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming brachten in februari 2026 een gezamenlijk advies uit dat de administratieve vereenvoudigingsonderdelen steunt, terwijl zij de medewetgevers uitdrukkelijk aansporen de herdefiniëring van persoonsgegevens niet aan te nemen, en waarschuwen dat dit het fundamentele recht op gegevensbescherming verder zou beperken dan een technisch amendement zou moeten doen. Medio 2026 blijft het dossier in de gewone wetgevingsprocedure, waarbij de commissies Industrie en Burgerlijke vrijheden gezamenlijk verantwoordelijk zijn in het Parlement, wat betekent dat de GDPR tekst waaraan een bedrijf vandaag voldoet, mogelijk niet de GDPR tekst is die van kracht is wanneer een AI trainingsprogramma dat het nu ontwerpt, live gaat.

Wat voegen de Digital Markets Act, de Data Act en DORA toe boven op de AI Act en de GDPR?

De Digital Markets Act levert haar eigen handhavingsspoor tegen dezelfde gatekeepers. Op 22 april 2025 legde de Commissie Apple een boete van 500 miljoen euro op voor anti-steering schendingen onder Artikel 5(4) en Meta een boete van 200 miljoen euro voor haar pay-or-consent advertentiemodel onder Artikel 5(2), de eerste niet naleving boetes uitgevaardigd onder de DMA. De eerste driejaarlijkse evaluatie van de Commissie, opgeleverd op 3 mei 2026 als COM(2026) 178, concludeerde dat het regime geschikt is voor het doel zonder dat wetgevingswijzigingen nodig zijn, terwijl specificatieprocedures die in januari 2026 zijn geopend tegen Google Play en Google Search actief blijven.

De Data Act werd toepasselijk op 12 september 2025, waarmee gebruikers van verbonden producten en diensten het recht kregen op toegang tot de data die deze producten genereren en, waar mogelijk, deze in real time met derden te laten delen. Ontwerpverplichtingen die vereisen dat verbonden producten data standaard toegankelijk maken, treden op 12 september 2026 in werking, en eerlijke, redelijke en niet discriminerende contractvoorwaarden gelden voor alle B2B data delingsovereenkomsten getekend na september 2025, uitgebreid naar bepaalde langlopende bestaande contracten vanaf september 2027. Waar persoonsgegevens betrokken zijn, volgen de Data Act sancties het GDPR niveau, tot 20 miljoen euro of 4% van de wereldwijde omzet.

Specifiek voor financiële entiteiten eindigde de overgangsperiode van DORA met 2025. Sinds het eerste kwartaal van 2026 zijn de ECB, BaFin, de AMF, de CSSF en andere nationale bevoegde autoriteiten overgestapt van gereedheidsonderzoeken naar formele toezichtsbeoordelingen van ICT risicobeheer, contracten met derde partijen en incidentrapportage, ondersteund door boetes tot 2% van de wereldwijde omzet voor instellingen en tot 1 miljoen euro persoonlijk voor leden van het bestuursorgaan die niet handelen naar ICT risicorapporten.

InstrumentStatus (juli 2026)Belangrijke datum om te volgen
AI Act, Bijlage III hoogrisicoOmnibus aangenomen, publicatie in Publicatieblad in afwachting2 december 2027 (was 2 augustus 2026)
AI Act, Artikel 50 transparantieOvergangsperiode verkort door Omnibus2 december 2026
DSA systeemrisicohandhavingActief, twee boetes opgelegd, één in beroep28 augustus 2026 (Temu herstelplan)
GDPR (TikTok overdrachtszaak)Aansprakelijkheid en boete bevestigd, remedie heropendHeroverweging Ierse DPC in behandeling
GDPR hervorming (Digital Omnibus)In gewone wetgevingsprocedureGeen aannamedatum vastgesteld
DMA gatekeeper verplichtingenTwee boetes opgelegd, evaluatie voltooid, geen wijzigingenGoogle specificatieprocedures lopend
Data Act ontwerpverplichtingenKernregels toepasselijk sinds sept. 202512 september 2026
DORA toezichtshandhavingOvergangsperiode voorbij, actieve beoordelingenDoorlopend, per nationale bevoegde autoriteit

Acht instrumenten, acht tijdlijnen, en minstens drie ervan veranderden materieel in de eerste helft van 2026 alleen al. Een compliance functie die dit via een spreadsheet volgt, is één gemist persbericht van de Raad verwijderd van het bouwen van een programma rond een deadline die niet langer geldt, wat precies de kloof is die Obsidian's AI companion is gebouwd om te dichten: geen vervanging van juridisch oordeel, maar een verifieerbare regelgevingscompanion die het moment signaleert waarop een gedelegeerde handeling de toetsing doorstaat of een boete definitief wordt.

Wat moet een compliance team vervolgens doen?

Begin met het scheiden van de bindende tekst van de AI Act van de nog hangende wijzigingen: zet het classificatiewerk voor Bijlage III voort op de aanname dat 2 augustus 2026 nog steeds zou kunnen gelden, terwijl u de Omnibus volgt richting publicatie in het Publicatieblad zodat de nieuwe datum van 2 december 2027 wordt bevestigd in plaats van aangenomen. Behandel parallel daaraan DSA en DMA handhaving als bewijs van waar toezichthouders daadwerkelijk prioriteit aan geven, systeemrisicobeoordelingen en steering beperkingen, in plaats van uitsluitend te vertrouwen op de tekst van de verordeningen.

Voor teams die GDPR blootstelling beheren over verschillende EU vestigingen, bevestig welke toezichthoudende autoriteit de leidende status heeft voor elke verwerkingsactiviteit en volg de Digital Omnibus onderhandelingen op wijzigingen in de definitie van persoonsgegevens die AI trainingsprogramma's die al lopen zouden kunnen beïnvloeden. Obsidian's MCP voor AI assistenten laat die monitoring draaien binnen de tools die compliance teams al gebruiken, en de huidige abonnementen laten zien hoe monitoring per rechtsgebied gelijke tred houdt met een regelboek dat drie keer veranderde in de eerste helft van 2026.