AVG uitgekleed?

In het kader van de deregulering van de nieuwe (rechtse) Europese Commissie circuleert er volgens Politico en volgens Euractiv  een “Digital Omnibus” met voorstellen om privacywet AVG, de ePrivacy regels en de AI Act te vereenvoudigen. Er moet één herziene Data Act komen. Dit vermindert overlap en stroomlijnt data-deling en -toegang.

Doel is mede om de ontwikkeling van een eigen AI-industrie in Europa te stimuleren waarbij ze persoonsgegevens mogen graaien. Het toezicht op AI-bedrijven zou gecentraliseerd moeten worden in Brussel. Ook fietst de Europese Commissie de digitale identiteit in dit nieuwe raamwerk naar binnen.

Kern is vrij baan voor big and little tech om op grond van “gerechtvaardigd belang” persoonsgegevens te verzamelen. Rechten op inzage en verwijdering voor burgers zouden beperkt moeten worden.

Opvallend is dat de Digital omnibus de DSA en DMA, waartegen Big Tech de meeste bezwaren koestert, ongemoeid laat. Dat komt ook door de procedures. Nog deze maand moet de Europese Commissie een evaluatie van de DSA openbaar maken. Op het oog is er geen uitstel voorzien.

Ik trof een uitgelekte versie van de voorgenomen Digital Package on simplification aan bij Netzpolitik.de. In een korte analyse van Bird & Bird staat dat Duitsland zelfs uitstel van de invoering van de AI Act vraagt met een jaar, tot augustus 2027.

De AVG is te gedetailleerd en te moeilijk te handhaven, vooral een “lawyers paradise”, zo bleek recent nog tijdens het Nationale Privacy Congres 2025 in Leiden. Juridische haarkloverij is normaal geworden en harde handhaving blijft achterwege. Twee kanten van dezelfde medaille.

Echter, met de Digital Omnibus, die volgende week officieel wordt gepresenteerd, dreigt volgens opposanten het kind met het badwater van de AVG te worden weggespoeld. De beoogde veranderingen zijn enorm, zo zegt consultant en privacy-onderzoeker Lukasz Olejnik, onafhankelijk, aan Euractiv: “Dit is een zeer ambitieus pakket. Het wordt de Olympische Spelen van het lobbyen.”

Maar activisten zijn net zo goed lobbyisten. Privacylobby Noyb staat op de achterste benen. Ze publiceert een document met inbreng van een tiental lidstaten, maar Nederland staat er niet bij. Vooral de aandrang van de huidige Duitse regering-Merz tot vergaande aanpassing is opvallend. Duitsland was voorheen het fanatiekst in handhaving van databescherming, met al haar regionale waakhonden die elkaar probeerden te overtreffen in maatregelen. Duitsland wil vooral de verplichtingen voor het MKB verminderen.

Nick Clegg schreef als chef Global Affairs bij Meta in december 2024 een opiniestuk in Le Monde waarin hij AVG, AI Act en Europese Commissie aanviel vanwege de rem op AI-ontwikkeling. Mario Draghi sloot zich in september 2025 aan bij de roep om ingrijpende hervormingen van de AVG ten behoeve van AI. In haar State of the Union preludeerde Ursula von der Leyen op de deregulering voor de concurrentie-agenda van de EU.

Echter, de vraag is of een verzwakking van AI Act en AVG ten goede komt aan Europese bedrijven of vooral aan Big Tech. Een open brief voor een milde Europese wetgeving is ondertekend door beide groepen bedrijven, de startups in Europa en Mark Zuckerberg van Meta. Een van de ondertekenaars is het Limburgse 8vance dat software voor rekrutering bouwt.

Zie ook het commentaar van Jeroen Terstegge over de bepaling wat wel en niet als persoonsgegevens beschouwd wordt in de Omnibus versus de jurisprudentie.

Toch een kwalijke chat control?

Terwijl we vorige week meldden dat de verplichte scanning van chatdiensten op kinderporno definitief van de baan is, volgde er deze week een alarmerende tweet van Europarlementariër voor de Piratenparij Patrick Breyer: via een achterdeur wordt ‘chatcontrol’ wellicht alsnog verplicht gesteld met amendementen op het Deense voorstel:

“De meest kritieke tekortkoming in het nieuwe voorstel is een de facto detectieverplichting via artikel 4 (“Risicobeperking”). Providers zullen verplicht worden om “alle passende risicobeperkende maatregelen” te nemen. Aangezien “vrijwillige” scans als “passend” kunnen worden beschouwd, kunnen de autoriteiten de uitvoering ervan afdwingen. Dit breekt de belofte en maakt chatcontrole opnieuw verplicht.”

De nieuwe wettekst zou controle van chats op inhoud en trefwoorden met AI mogelijk maken. Om minderjarigen te identificeren, zou elke burger zijn leeftijd moeten aantonen met een identiteitsbewijs of een gezichtsscan.

Berliner Zeitung neemt dit over. Volgens Rejo Zenger van Bits of Freedom blijft de kern van het voorstel een vrijwillige controle, niet verplicht.

Kwart cookieboeven heft middelvinger naar AP

Statistiek is vaak een kwestie van omdraaien van cijfers. Zoals deze kop van een AP-bericht, breed overgenomen in media: “Driekwart websites past misleidende cookiebanner aan na waarschuwing…” De Autoriteit Persoonsgegevens (AP) waarschuwde eigenaren van ruim 200 websites dat ze met hun cookiebanner de (uitleg van) de AVG en ePrivacy regels overtreden. Ongeveer driekwart heeft die inmiddels aangepast, dus vijftig website-exploitanten hebben er lak aan. Maar wat is die aanpassing dan, vraagt Floor Terra?

De AP “zet nu handhavingsstappen”. Tja, dat duurt dan maar. De AVG en UAVG bieden te weinig mogelijkheden voor harde straffen. De AP moet zo’n website gewoon uit de lucht kunnen halen, onder het mom van “wie niet leren wil, moet maar voelen”. En in elk geval de namen van de overtreders direct openbaar maken.

Nog principiëler: het plaatsen van cookies die niet noodzakelijk zijn voor het functioneren van de website moet helemaal verboden worden. Wat is dan noodzakelijk? Niet marketing, niet personalisatie. Monique Verdier, vicevoorzitter van de AP, zegt dat ook in het bericht: “Mensen moeten echt vrij kunnen kiezen of ze gevolgd willen worden. De eenvoudigste manier om dat te respecteren, is géén volgsoftware gebruiken.”

Ze zegt ook: “Bedrijven moeten zich realiseren: gegevens zijn geen handelswaar. Het gaat om mensen.” Daar kun je nog een aardige boom over opzetten, want is het tegendeel niet het geval: gegevens zijn handelswaar en het gaat niet om mensen maar om nummers?

Overname Solvinity ter discussie

Vorige week schreef ik kort over de overname van de Nederlandse cloudaanbieder Solvinity door Kyndryl, net nu Europa en Nederland ‘soeverein’ willen worden met IT-dienstverleners, minder afhankelijk van Big Tech in de VS. Nederlandse overheden zijn grote klanten van Solvinity, waaronder Justitie & Veiligheid en Logius.

Marloes de Koning zet in NRC goed op een rij waarom deze verkoop van het Nederlands bedrijf aan een Amerikaanse partij problematisch is. De grootste aandeelhouder was het Britse private-equitybedrijf Vitruvian Partners, dat de oprichters eerder rijk maakte en nu zelf wil cashen. In de rij investeringen staat Solvinity er nog bij, met jaartal 2014 als begin.

Onder meer DigiD en MijnOverheid draaien in een ‘private cloud’ voor Logius op de servers van Solvinity. Ofschoon er kritiek kwam op de uitvoering van dit project moet de hosting volgens deskundigen wel Nederlands blijven. Tweede Kamerlid Barbara Kathmann van GroenLinks-PvdA heeft Kamervragen gesteld over de kwestie.

Ook de gemeenteraad van Amsterdam is kritisch, want de gemeente Amsterdam draait bij Solvinity. Ik vind hier een persbericht van de order voor Solvinity en het Amerikaanse bedrijf Cognizant waarin gewag wordt gemaakt van die ‘soevereiniteit’ waar Amsterdam op aansloeg. Het is van 30 oktober 2025, toen Solvinity de Amerikaanse overname al afrondde.

*) Beeld: Nationaal Archief: huwelijksbemiddeling 1950, fotograaf: J. van Eijk, Spaarnestad