Digital Omnibus stuurt aan op minder ‘toestemming’ voor dataverwerking
In 2012 publiceerde Anu Bradford, hoogleraar rechten aan Columbia University, The Brussels Effect, een baanbrekend artikel over de geweldige invloed van Europa als een “goedaardige regelgevende hegemonie” die de kastanjes uit het vuur haalde om burgers mondiaal te beschermen tegen het machtige bedrijfsleven: “Weinig Amerikanen zijn zich ervan bewust dat EU-regelgeving bepalend is voor de make-up die ze 's ochtends aanbrengen, de ontbijtgranen die ze eten, de software die ze op hun computer gebruiken en de privacy-instellingen die ze op hun Facebook-pagina aanpassen.”
En zelf was Europa maar wat trots op de AVG in 2018 en de DMA en DSA in 2023 en 2024. Wij zouden Big Tech in Amerika wel even laten voelen wat fatsoenlijke burgerrechten zijn. Miljardenboetes waren het gevolg, terwijl consumenten hun online leven bleven overgeven aan de verslavende platforms. Langzamerhand werd echter duidelijk dat Big Tech braaf aan de regelgeving leek te voldoen maar allerminst ten koste van haar macht over onze manier van leven. Europa was vooral lastig en daar ging Big Tech aan de hand van het autoritaire regime-Trump, eventjes een eind aan maken.
Arrogant of soeverein?
Europa stelt zich, liet Elon Musk de Europese Commissaris Thierry Breton weten, vooral op als een arrogante regelneef. Dat drong niet overal door. Er verschenen reacties van wetenschappers als Reijer Passchier die nog van (inmiddels) ouderwets elan blijk geven: Laten we onbetrouwbare bigtechbedrijven volledig uit Europa weren. Maar roepen en realiteit sluiten niet altijd aan.
Europa wil zelf sterker worden in de bouw van technologie, noemt dat ‘soevereiniteit’. Die term weerspiegelt nog steeds wat van arrogantie: onafhankelijk worden van Big Tech in de Verenigde Staten. Dat blijkt in de praktijk moeilijk te zijn, want het kost vele jaren om op elk niveau concurrerend te worden. Enkel helemaal onderaan de waardeladder, in het maken van chipmachines, doet Europa mee.
Waar Europa niet kan meekomen op de markt, is wetgeving niet de grote gelijkmaker gebleken. De AVG is in de praktijk jarenlang belabberde databescherming geweest, wel opgerekt maar slecht gehandhaafd door toezichthouders. En gebruikt voor winstmaximalisatie door advocaten. Nu is er met wetsvoorstel Digitale Omnibus een afzwakking onder politieke spanningen en opportunisme. De uitkomst is echter ongewis.
Europa staat voor een dilemma: net als voorheen zo strak reguleren dat Europese burgers zich beschermd weten tegen Big Tech, of de teugels laten vieren waarmee ook Europese bedrijven mogelijk hun positie verbeteren.
Naar rechts
Ursula von der Leyen zelf presenteerde woensdag 19 november 2025 als EC-voorzitter de “Digital Omnibus”, de hervorming van digitale wetgeving. Haar centrumrechtse Europese Volkspartij (EPP) staat erachter, zoekt steun van radicaal-rechts want links vindt de herziening onjuist. Net als een week eerder met de eerste “Omnibus” voor afzwakking van klimaatbeleid zijn nieuwe politieke verhoudingen bepalend. Officieel overlegt de EVP niet met radicaal-rechts.
In het Europees Parlement was Kim van Sparrentak van GroenLinks (foto) heel trots op haar grote bijdrage aan de AI Act, maar voor die goed en wel in werking treedt wordt ze herzien. “Het is teleurstellend om te zien dat de Europese Commissie zwicht voor de druk van de regering-Trump en de lobby's van de grote techbedrijven”, laat ze weten als reactie op de Digital Omnibus. En in de actiemodus: "De kurken knallen in Silicon Valley". Ze zal zich in lijn met de krachtige privacylobby verzetten tegen de Omnibus en het redden van de Europese nadruk op gebruikersrechten, maar het parlement heeft een andere samenstelling en prioriteiten.
Behalve het Europees Parlement moeten de nationale regeringen nog met de Digital Omnibus instemmen. Behalve in Straatsburg is in veel lidstaten een rechtser bewind aan de macht dat minder dan links op heeft met databescherming en bestrijding van Big Tech. Een vanouds aan privacy gehecht land als Duitsland is al ‘om’ voor de Digital Omnibus. Lidstaatje Nederland was voorheen voor strenge regels voor databescherming met D66, maar nu ziet werkgeversclub VNO-NCW de kans schoon om de AVG af te zwakken.
Dus zo’n 130 burgerrechtenorganisaties zijn in een gezamenlijke brief aan de Commissie boos en bezorgd. Bits of Freedom, Privacy First, Somo, Vrijschrift.org in Nederland tekenen mee. Actievoerders waren met mobiele billboards en posters actief in Brussel, met oproepen aan Von der Leyen om niet te buigen voor Big Tech en Trump. Barbara Kathmann van GroenLinks-PvdA heeft Kamervragen gesteld met als titel het “slopen van de privacybescherming”.
AI-dreiging van Big Tech
Doel van het voorstel is lastenverlaging voor het bedrijfsleven, vooral voor het MKB. Maar de grote Amerikaanse en wellicht ook Chinese platforms liften mee als ze meer persoonsgegevens mogen verzamelen op grond van een “gerechtvaardigd belang”. Dus als “toestemming” niet langer de dominante ‘grondslag’ vormt om gegevens van consumenten/burgers te mogen verwerken, ook voor hun AI-machines.
Immers, het regime-Trump opteert voor optimale vrijheid voor AI-ontwikkeling. De president heeft zelfs een decreet klaarliggen, zo onthult Wired, voor een verbod voor Amerikaanse staten om AI-wetgeving in te voeren die zijn nationale vrijbrief voor AI-ontwikkeling in de wielen kan rijden.
Grootste actuele probleem is totale onzekerheid over gebruik van data voor AI-training en antwoorden. Netkwesties schreef over kwalijke dataverzameling via AI-browsers, Jeroen Verkroost gaf commentaar dat het meevalt. Maar in aanvullende discussie kwamen we er domweg niet uit welke data de AI-giganten voor welke doeleinden gebruikten. Prompts en interactie van de bots, ook in de browsers, worden uiteraard gebruikt Maar wat ze precies aan persoonsgegevens verwerken, dat blijft ook voor experts gissen.
Browsers en cookies
Eigenlijk is al gekozen voor verruiming van mogelijkheden, zo blijkt uit het persbericht over de beoogde deregulering:
AI-regels worden gebaseerd op de vage term “innovatie” wat een eufemisme is voor “vrije markt”. Ook de in de AI Act omschreven systemen met een hoog risico voor burgers staan even op een glijbaan. De regulering wordt “gekoppeld aan de beschikbaarheid van ondersteunende tools, waaronder de benodigde technische standaarden”. Het wemelt van dergelijke vaagtaal. Wel hard is het uitstel van de AI-regels van augustus 2026 tot december 2027 en augustus 2028
Eveneens kunnen we een “innovatievriendelijk” privacyraamwerk tegemoetzien: aanpassing van de AVG zodat het delen van persoonsgegevens voor organisaties, zowel overheden als bedrijven, niet wordt belemmerd zolang het voor derden maar niet mogelijk is om individuen te identificeren.
Bedrijven mogen vaker het gerechtvaardigd belang aanroepen voor verzameling van persoonsgegevens, en behoeven dan geen toestemming aan gebruikers te vragen. Minder cookiebanners dus. Maar een boeiend alternatief: gebruikers geven hun voorkeuren aan in hun browser en/of besturingssysteem. Op zich kan dit voor burgers juist een aanzienlijke verbetering worden. Want websites zijn nu niet gebonden aan de aangegeven voorkeur in browsers om gevrijwaard te blijven van datagraaien met cookies. Als die plicht er wel komt, zou dat een betere bescherming kunnen inhouden.
Digitale identiteit
Er komt één centraal Europees meldpunt voor datalekken en beveiligingsincidenten, op te richten door het Europese cyberagentschap Enisa. Baat het niet dan schaadt het niet, want de hoeveelheid nationale meldingen is zo omvangrijk dat er toch niets mee gedaan wordt, laat staan dat er sancties worden opgelegd.
Nog meer vernieuwing: Europese Business Wallets bieden bedrijven de mogelijkheid om met een controleerbare digitale identiteit zaken te doen in alle lidstaten. De vraag is uiteraard of de enorme fraude hiermee wordt bestreden.
Een “Digital Fitness Check” (typisch bureaucratische EU-term) moet uitwijzen of de beoogde doelen, vereenvoudiging en miljarden aan besparingen inderdaad worden bereikt, zonder dat de databescherming van burgers er al te zeer onder gaat leiden.
Nieuwe wind AP
De Autoriteit Persoonsgegevens reageerde direct, met een woord in de kop waarin het eigen gewicht de afgelopen maanden vaker is opgevijzeld: “Mensenrechten”. Onder meer: Wat op papier soms als een beperkte aanpassing oogt, kan in de praktijk impact hebben op iets heel fundamenteels: het recht van mensen om zelf te bepalen wat er met hun privégegevens gebeurt. Nieuwe toepassingen met data en kunstmatige intelligentie (AI) zijn mogelijk, zolang mensen zelf de regie houden over hun gegevens en de toepassingen veilig zijn.” Over die autonomie heeft Jeroen Terstegge (zie reactie) een negatief oordeel.
De AP meent te weten dat Brussel maar wat bazelt zonder te onderzoeken: “Voordat zulke ingrijpende wijzigingen worden doorgevoerd, moet helder zijn wat de gevolgen zijn voor burgers, bedrijven en toezichthouders. Die gevolgen heeft de Commissie niet onderzocht.”
In 2026 krijgt de AP een nieuwe voorzitter die waarschijnlijk pragmatischer zal optreden dan de huidige voorzitter Aleid Wolfsen. Dat hoeft niet te leiden tot minder bescherming van burgers. Die hebben overigens nog een paar jaar om zelf weerbaarder te worden, om te beginnen door hun leven en communicatie niet volkomen afhankelijk te maken van digitale datadiensten, zoals met e-mail in vroegste tijden, vervolgens sociale media en nu AI. Die toename van de weerbaarheid staat ook in de Digital Omnibus.
Wat vinden de experts?
23 nov 2025Over de EU Digital Omnibus en de GDPR-update: ik raad aan om de wijzigingen in samenhang met elkaar te lezen.
- Organisaties kunnen gegevens ontvangen die zodanig zijn geanonimiseerd dat ze niet langer als persoonsgegevens worden beschouwd, en dus buiten het toepassingsgebied van de AVG vallen, maar nog steeds bruikbaar zijn voor het trainen van AI-modellen op EU-burgers. Niet zozeer voor taalmodellen (LLM's), maar bijvoorbeeld voor voorspellende AI voor mobiliteit, (online) crowd management & controle, personalisatie, reclame, het promoten van ideologische en politieke standpunten, fraude en veiligheid, enz. Ook overheidsinstanties zullen hier zeer geïnteresseerd in zijn.
- Deze verwerkers kunnen zich ook in derde landen bevinden, zoals de VS en China. Merk op dat artikel 44/hoofdstuk V betrekking heeft op persoonsgegevens zodra deze in een derde land terechtkomen. De gegevens die eenmaal zijn overgedragen op grond van 1 vallen hier niet onder: het zijn voor de ontvanger geen persoonsgegevens meer. Dat is tenminste hoe advocaten het zullen proberen te verdedigen, gezien de huidige bewoordingen.
- Transparantieverplichtingen zijn niet langer van toepassing, of beperkt. Dus burgers worden niet op de hoogte gebracht van de verspreiding van wat ooit persoonsgegevens waren. Het anonimiseren van trainingsgegevens zal worden verdedigd als zijnde onderworpen aan de vrijstelling van verwerking van persoonsgegevens voor (wetenschappelijk) onderzoek. Let wel: een toetsing van het gerechtvaardigd belang van het anonimiseren van gegevens zal zeer waarschijnlijk slagen als de gegevens inderdaad niet-persoonsgebonden zijn voor de ontvangers.
- Veel succes, burgers, met het uitoefenen van uw rechten (inzage, bezwaar, verwijdering). U weet in deze gevallen niet wat u moet vragen, dus het is gemakkelijk voor organisaties om verzoeken al snel af te doen als buitensporig of misbruik van de wet: proberen de AVG toe te passen waar dat niet het geval is.
- Toezichthouders als de AP zullen beperkte bevoegdheid/jurisdictie hebben: dat houdt op zodra gegevens geen persoonsgegevens meer zijn. Gezien de (politieke) standpunten die toezichthouders de afgelopen jaren hebben ingenomen, is dat waarschijnlijk opzettelijk om meer mogelijkheden te bieden om AI buiten hun toezicht om te trainen.
- Organisaties kunnen de periode van onzekerheid met betrekking tot niet-persoonsgebonden gegevens gebruiken om toch hun AI-modellen te bouwen en zelfs het grootste deel van de trainingsgegevens te wissen. Zal die werkwijze met AI-modellen een negatief vonnis van de hoogste rechter overleven? Hebben we in de EU-wetgeving bepalingen inzake terugbetaling van opbrengsten uit modellen? Zijn deze ook buiten de EU van toepassing? Ik denk ook aan buitenlandse overheidsactoren van landen waar de rechtsstaat onder druk staat.
In de laatste volzin van het persbericht (“het recht van mensen om zelf te bepalen wat er met hun privégegevens gebeurt.”) geeft de AP weer eens blijk van een flinke dosis privacyactivisme, wat een serieuze toezichthouder onwaardig is.
Onder art. 8 lid 2 Europees Handvest, zoals uitgewerkt in art. 6 AVG, hebben betrokkenen GEEN recht om zelf te bepalen wat er met hun gegevens gebeurt. Dat is alleen het geval als de andere 5 grondslagen in art. 6 AVG niet van toepassing zijn. Ook het Europese Hof van Justitie heeft aangeven dat de 5 andere grondslagen, mits goed toegepast en uitlegbaar, rechtmatige gegevensverwerkingen opleveren (HvJ EU, C-252/21, r.n. 92). Nog daargelaten dat het Hof de AP precies op dit punt op de vingers heeft getikt in de KNLTB-zaak (C-621/22). Maar dit alles weerhoudt de AP er kennelijk niet van om haar narratief rondom grondslagen aan te passen.
In de Digitale Omnibuswet stelt de Europese Commissie voor om de relatieve interpretatie van het begrip persoonsgegevens, zoals vastgesteld in de zaak EDPS tegen SRB (HvJ-EU C-413/23 P), op te nemen in de definitie van artikel 4, lid 1, van de AVG. Als langdurig voorstander van de relatieve interpretatie ben ik helemaal voor die wijziging.
Het voorstel beoogt echter ook de onbedoelde gevolgen van de zaak Scania (C-319/22, overweging 49) weg te nemen, waarin het Hof van Justitie oordeelde dat gegevens indirect "persoonsgegevens" kunnen vormen voor de houder van die gegevens indien een persoon aan de hand van die gegevens kan worden geïdentificeerd door een derde die toegang heeft tot die gegevens. Deze uiterst ruime interpretatie van "persoonsgegevens" is in de praktijk problematisch gebleken, aangezien organisaties nu ook aan de AVG moesten voldoen voor gegevens die voor HEN geen persoonsgegevens waren.
Ik ben het er volledig mee eens dat de AVG moet worden gewijzigd om de gevolgen van de Scania-zaak weg te nemen. Ik begrijp echter ook het standpunt van critici, die erop wijzen dat de bescherming van veel gegevens – nu persoonsgegevens – tot nul zal worden teruggebracht.
Tijdens de onderhandelingen over de AVG heb ik het idee geopperd om een extra categorie gegevens in de AVG op te nemen, gedefinieerd als "informatie over een natuurlijke persoon of een groep natuurlijke personen die niet door de verwerkingsverantwoordelijke kan worden geïdentificeerd, met inbegrip van specifieke kenmerken van die persoon of groep, zoals hun locatie, gedrag, voorkeuren of toestand".
Typische voorbeelden van 'persoonsgegevens' zijn: beelden van massale camerabewaking en geanonimiseerde datasets. Deze gegevens hebben duidelijk (nog steeds) betrekking op personen, maar zijn bij gebrek aan identificeerbaarheid (nog) geen 'persoonsgegevens'. Naar mijn mening mogen dergelijke gegevens niet zonder enige bescherming blijven. Dat zou te riskant zijn voor de privacy van die mensen. Dergelijke gegevens verdienen echter ook niet de volledige bescherming van de AVG. Dat zou overdreven zijn.
De weg vooruit is om deze extra categorie van 'persoonsgegevens' in de AVG op te nemen en die gegevens basisbescherming te bieden, zoals de noodzaak van een rechtsgrondslag, eerlijke verwerking, specificatie van het doel, doelbinding (inclusief de verplichting om waarborgen in te voeren in geval van verdere verwerking voor onverenigbare doeleinden), opslagbeperking en informatiebeveiliging. De rechten van de betrokkene mogen echter NIET van toepassing zijn op dergelijke gegevens (aangezien de betrokkene nog niet kan worden geïdentificeerd).
Een goed voorbeeld hiervan is artikel 5.1, lid 2, onder e), van de Nederlandse Wet openbaarheid van bestuur (Woo), op grond waarvan een Woo-verzoek kan worden afgewezen als er een risico bestaat voor de privacy van een persoon. Artikel 5.1, lid 1, onder d), schrijft echter al voor dat persoonsgegevens uit documenten moeten worden verwijderd en alleen met toestemming van de betrokkene mogen worden verstrekt. De Woo maakt dus een duidelijk onderscheid tussen "persoonsgegevens" en privacygevoelige gegevens die geen persoonsgegevens zijn.
De AVG zou hetzelfde moeten doen.
23 nov 2025Het Commissievoorstel voor de Digital Omnibus Act wil alles tegelijk regelen, maar zonder al te veel motivatie. Het doorkruist met grote stappen langdurig opgebouwd evenwicht zoals in de AVG. Moeten we daar nou blij van worden.
Neem nieuw artikel 88c dat gaat verwerking van persoonsgegevens voor AI-training per definitie een gerechtvaardigd belang is. Nu hebben toezichthouders er kilometers pdf voor nodig om tot de conclusie "misschien wel, maar hangt ervan af" te komen. Ik snap wel dat je dan denkt, we slaan het plat en zeggen gewoon dat het zo is. Maar je zet zo wel een belangrijk mechanisme uit die wet buiten werking, de belangenafweging die hierbij hoort.
De inwerkingtreding van de AI Act wordt opgeschort tot 2027 en ‘28, zoals hier beschreven. Tenzij de Commissie vindt dat het eerder kan. Dit is al onduidelijk genoeg, plus geen mens heeft écht kunnen onderbouwen waarom 2026 onhaalbaar is. Het is weer het bekende liedje: een wet krijgt 2 jaar aanlooptijd, niemand doet iets in die aanlooptijd en een half jaar voor de echte deadline is het ineens een verrassing, onhaalbaar en slecht voor de innovatie.
De AI Act zou 2 augustus 2026 in werking treden. Het is ondenkbaar dat de ‘Omnibus’ binnen een goed half jaar door én Parlement én Raad én triloog (met de nationale regeringen erbij ) heen komt. Wat gebeurt er in de tussentijd? Gaan toezichthouders (die nog niet opgericht zijn, trouwens) dan alles door de vingers zien?
Netkwesties © 1999/2025. Alle rechten voorbehouden. Privacyverklaring
