033 200 30 83
Digital Omnibus: vereenvoudiging of verschuiving van digitale rechten?
De Europese Commissie presenteerde onlangs de Digital Omnibus. Dit wetsvoorstel heeft als doel de digitale wetgeving te vereenvoudigen, administratieve lasten te verlagen en de samenhang tussen bestaande kaders te verbeteren. Tegelijkertijd groeit de zorg dat deze hervorming juist de bescherming van persoonsgegevens en bredere fundamentele rechten van burgers onder druk kan zetten. De Autoriteit Persoonsgegevens (AP) waarschuwt dan ook dat wijzigingen in dergelijke wetgeving alleen verantwoord zijn wanneer de gevolgen voor mensenrechten helder zijn onderzocht. Ook maatschappelijke organisaties signaleren risico’s, vooral waar ruimte ontstaat voor verruiming van AI‑training en minder transparante trackingpraktijken.
Aanpassingen in de AVG en ePrivacy
Volgens de Europese Commissie moeten de voorgestelde wijzigingen in de AVG en ePrivacy‑regels vooral zorgen voor meer duidelijkheid en betere afstemming tussen bestaande verplichtingen. Binnen de AVG gaat het met name om het verduidelijken van definities en het harmoniseren van verwerkingsgrondslagen. Begrippen zoals ‘persoonsgegevens’ en ‘pseudonimisering’ worden volgens de Commissie preciezer omschreven, zodat organisaties beter kunnen beoordelen wanneer gegevens binnen het bereik van de AVG vallen. Tegelijkertijd waarschuwen toezichthouders en juridische commentatoren dat een te nauwe interpretatie ertoe kan leiden dat gegevens sneller als niet‑persoonsgegevens worden beschouwd, terwijl technische herleidbaarheid in de praktijk blijft bestaan.
Daarnaast stelt de Commissie dat meer ruimte voor wetenschappelijk onderzoek noodzakelijk is. Daarom voert het voorstel twee gerichte wijzigingen door. Ten eerste wordt ‘wetenschappelijk onderzoek’ expliciet en ruimer omschreven. Ten tweede maakt de Commissie expliciet dat verdere verwerking voor onderzoeksdoeleinden, onder voorwaarden, als verenigbaar met het oorspronkelijke doel kan worden aangemerkt. Dit moet organisaties meer houvast bieden bij het verwerken van persoonsgegevens voor onderzoeksprojecten. In de toelichting benoemt de Commissie dat sommige onderzoeksactiviteiten ook het ontwikkelen, trainen en testen van AI‑modellen kunnen omvatten, mits deze handelingen bijdragen aan wetenschappelijke vooruitgang.
Juist deze verbreding leidt tot zorgen bij toezichthouders en juridische commentatoren. Zij vrezen dat AI‑training hierdoor eerder onder ‘onderzoek’ kan worden geplaatst, ook wanneer de verwerking feitelijk gericht is op commerciële of productgerichte AI‑ontwikkeling. Hierdoor kan de scheiding tussen verwerkingen ten behoeve van onderzoek en ten behoeve van commerciële doeleinden vervagen. Volgens toezichthouders is die scheiding essentieel om proportionaliteit, doelbinding en transparantie te waarborgen.
Een andere aanpassing betreft de cookieregels. De Commissie wil de regels uit de ePrivacy‑richtlijn onderbrengen in de AVG en toestemming voor tracking deels vervangen door apparaat‑ of browserinstellingen. Dit moet het aantal banners verminderen en de keuze van de gebruiker centraliseren. Critici wijzen erop dat dit in de praktijk kan betekenen dat gebruikers – afhankelijk van standaardinstellingen – ongemerkt in een ruimer tracking‑regime terechtkomen. Dit vraagt om zorgvuldige, transparante en toetsbare inrichting van consentmechanismen.
Overige structurele wijzigingen binnen de Europese datakaders
De Omnibus brengt verschillende bestaande regels voor datadeling samen in de Data Act. Het gaat onder meer om regels voor data‑intermediaries, data‑altruïsme, cloud‑switching en het hergebruik van overheidsdata. Door deze regels te bundelen ontstaat één duidelijker kader, zodat organisaties beter begrijpen welke verplichtingen zij hebben bij het delen en uitwisselen van data. Dit betekent wel dat veel organisaties hun contracten, governance‑structuren en werkprocessen moeten bijwerken. Ook introduceert de Omnibus een nieuwe categorie ‘small mid‑caps’, zodat sommige verplichtingen beter aansluiten op wat middelgrote bedrijven praktisch kunnen dragen.
Daarnaast wordt een Europees Single Entry Point voor incident‑ en datalekmeldingen geïntroduceerd. Waar organisaties nu onder verschillende kaders afzonderlijk moeten melden, kunnen zij straks één centrale melding doen, die door ENISA wordt doorgestuurd naar de relevante toezichthouders. De meldplichten zelf blijven grotendeels gelijk, maar de wijze van melden wordt uniformer, digitaler en efficiënter. Dit vraagt om een herziening van interne incidentrespons‑processen.
Risico’s vanuit het perspectief van grondrechten
De AP benadrukt dat de Digital Omnibus potentieel grote invloed heeft op de bescherming van persoonsgegevens. De toezichthouder stelt dat de gevolgen voor rechten van burgers onvoldoende zijn onderzocht en dat het risico bestaat dat de harmonisatie en vereenvoudiging ten koste gaan van de bescherming van mensenrechten. Dit betreft met name de versoepeling van verwerkingsmogelijkheden voor AI‑training en het verleggen van consent naar standaardinstellingen. Ook het nauwer trekken van definities binnen de AVG kan ertoe leiden dat organisaties gegevens sneller als niet‑persoonsgegevens classificeren dan maatschappelijk wenselijk is.
Maatschappelijke organisaties en kritische waarnemers maken zich zorgen over de mogelijkheid dat commerciële belangen meer ruimte krijgen en dat burgers afhankelijk worden van de keuzes die browsers en apparaten standaard voor hen maken. De vraag is in hoeverre deze technische voorkeurssignalen werkelijk de keuze van de gebruiker weerspiegelen en in hoeverre dit model past bij de beginselen van transparantie en controle die centraal staan in de AVG. De wijzigingen brengen duidelijke risico’s met zich mee voor de bescherming van persoonsgegevens en digitale grondrechten.