De Britse AI-aanpak in 2026: principes zonder wet, met een wet in aantocht

Het Verenigd Koninkrijk is de grootste Europese jurisdictie zónder horizontale AI-wet — en dat is een keuze, geen achterstand. Maar 2026 is het jaar waarin het Britse model begint te schuiven — en het schuift in een veelzeggende richting: een frontier-veiligheidswet werd twee jaar lang aangekondigd, maar de daadwerkelijke AI-wet van 2026 is een pro-innovatieve groei-en-sandbox-wet. Voor organisaties die zowel onder de AI Act als op de Britse markt opereren, is het verschil tussen beide benaderingen inmiddels een dagelijkse governance-vraag.

Het model: vijf principes, bestaande toezichthouders

De basis is het witboek uit maart 2023: vijf principes — veiligheid en robuustheid; passende transparantie en uitlegbaarheid; eerlijkheid; verantwoording en governance; betwistbaarheid en herstel — die niet in een wet staan, maar door de bestaande sectortoezichthouders (waaronder ICO, FCA, CMA, Ofcom en MHRA) in hun eigen domein worden toegepast. Er bestaat dus geen "Brits CE-merk" voor AI en geen registratieplicht: de eisen komen binnen via gegevensbescherming, financieel toezicht, mededinging en productveiligheid.

Wat er in 2026 verandert

Twee bewegingen bepalen het beeld. Ten eerste het AI Security Institute — tot februari 2025 AI Safety Institute, omgedoopt om de focus op nationale veiligheid en misbruikrisico's te markeren — dat in 2026 in hoog tempo technisch onderzoek publiceert over onder meer agentveiligheid, trainingsdata-invloed en meerstaps-cyberaanvallen. Het instituut is geen toezichthouder, maar zet de facto de technische lat voor frontier-evaluaties. Ten tweede leverde de wetgevingsagenda eindelijk een wet op — maar niet de lang aangekondigde. De troonrede (King's Speech) van 13 mei 2026 plaatste de Regulating for Growth Bill in het programma: een sectoroverstijgende, pro-innovatieve wet met regulatory sandboxes, een versterkte groeiplicht en "cross-cutting AI sandboxes", in plaats van de verplichte pre-deployment- evaluaties en incidentmelding die men van een frontier-statuut verwachtte. Een initiatiefwet (AI Regulation Bill), op 4 juni 2026 in het Hogerhuis besproken, mist regeringssteun; bindende frontier-plichten zijn niet ingediend. De wettelijke AI-stap van de regering verlaagt de regeldruk dus in plaats van die te verhogen — zie onze analyse van de Regulating for Growth Bill.

En een derde beweging is niet langer "in voorbereiding" — ze staat al op het wetboek. De Data (Use and Access) Act 2025 herschreef de Britse regels voor geautomatiseerde besluitvorming en droeg de ICO op een statutaire code voor AI en geautomatiseerde besluitvorming op te stellen; de Regulations die deze plicht in werking zetten, traden op 12 mei 2026 in werking. Het is de eerste sectoroverstijgende AI-verplichting met harde rand in het Britse recht, en ze loopt via gegevensbescherming in plaats van via een AI Act — zie onze aparte analyse van de Britse statutaire AI- en ADM-code.

Naast de AI Act gelegd

Voor de praktijk zijn drie verschillen wezenlijk. Ten eerste: de Britse principes zijn niet zelfstandig afdwingbaar — handhaving loopt via bestaand sectorrecht, dus het risicoprofiel verschilt per branche. Ten tweede: wat de EU via productregulering doet (conformiteitsbeoordeling vooraf), doet het VK via toezicht achteraf en — in toenemende mate — sandbox-experimenten. Ten derde: wie AI Act-conform werkt, dekt de Britse principes inhoudelijk grotendeels af, maar het omgekeerde geldt niet. Voor internationale organisaties blijft de AI Act daarmee de maatgevende bovengrens — met het VK als de jurisdictie om te volgen voor waar frontier-governance heen beweegt.