De EU-instellingen hebben op 7 mei een politiek akkoord bereikt over de zogenoemde AI Act Omnibus. Volgens Morrison Foerster verheldert het pakket bestaande verplichtingen, schuift het de compliance-deadlines voor hoge-risico-AI-systemen op en introduceert het nieuwe regels rond AI-gegenereerde intieme content.
De overgebleven bepalingen van de AI Act worden op 2 augustus 2026 van toepassing. Verboden voor AI-systemen met onaanvaardbaar risico golden al sinds 2 februari 2025, en regels voor general-purpose modellen zoals ChatGPT, Claude en Gemini sinds augustus 2025. Boetes voor de zwaarste overtredingen lopen op tot 7 procent van de wereldwijde jaaromzet, standaard non-compliance tot 3 procent.
Voor marketing-bureaus die AI gebruiken om EU-consumentendata te verwerken, valt het werk binnen de scope van de wet. Inzetters van hoge-risico-AI-systemen moeten fundamental-rights-impact-assessments uitvoeren, menselijk toezicht inrichten, gebruikslogs bijhouden voor post-market-monitoring en medewerkers AI-literacy-training geven. De categorieen die het meest raken aan marketing-werk zijn AI die individuen scoort of evalueert, en AI in werving en HR.
Bron
Wat dit betekent voor jou
Voor bureau-eigenaars is dit het moment om twee dingen te checken. Eerst: welke AI-tools draaien er in jullie stack die persoonsdata van EU-consumenten verwerken, en heeft de leverancier al een DPIA klaarliggen. Dan: welke van jullie eigen workflows valt onder hoge-risico, en wie houdt daar de logs van bij. De boetes zijn theoretisch, de toezichthouders zijn dat niet meer.
Editie 026 · Kort