De belangrijkste wijzigingen en gevolgen
De Digitale Omnibus introduceert diverse aanpassingen in bestaande wetgeving. We bespreken hier een aantal kernpunten die waarschijnlijk het meest relevant zijn voor bedrijven:
• Beperking van de definitie “persoonsgegeven”
Informatie wordt in de Digitale Omnibus niet langer als persoonsgegeven aangemerkt wanneer een organisatie niet beschikt over “middelen die redelijkerwijs kunnen worden gebruikt” om een individu te identificeren. Hierdoor kan dezelfde data bij het ene bedrijf wél als persoonsgegeven gelden, terwijl dat bij een ander bedrijf niet het geval is. Ook biedt dit in de nabije toekomst mogelijk ruimte voor het gebruik van gepseudonimiseerde persoonsgegevens en ID-nummers zonder dat de volledige AVG van toepassing is.
• AI-ontwikkeling
De verwerking van persoonsgegevens voor de ontwikkeling en het gebruik van AI-systemen mag worden gebaseerd op gerechtvaardigd belang. Dit geeft bedrijven meer vrijheid om gegevens te gebruiken voor het trainen van modellen, zonder afhankelijk te zijn van toestemming van betrokkenen of uitvoering van de overeenkomst. Verder krijgen bedrijven mogelijk meer ruimte om gevoelige persoonsgegevens (zoals bijvoorbeeld gezondheidsgegevens) te gebruiken voor het trainen van AI-systemen, mits daarbij passende waarborgen worden toegepast. Deze voorgenomen versoepeling zou organisaties moeten helpen om vooringenomenheid in AI-systemen op te sporen en te corrigeren.
Tot slot worden de regels voor het gebruik van hoog-risico-AI, zoals systemen voor biometrische identificatie, wetshandhaving en toegang tot onderwijs of werk, die oorspronkelijk vanaf augustus 2026 zouden gelden, uitgesteld.
• Cookies
Momenteel wordt toestemming voor cookies gevraagd via pop-upbanners, die vaak complex en lastig te begrijpen zijn. Tegelijkertijd maken online aanbieders aanzienlijke kosten om conforme banners te ontwikkelen.
De complexiteit wordt versterkt doordat artikel 5(3) van de ePrivacy-richtlijn van toepassing is op het plaatsen van cookies, terwijl de daaropvolgende verwerking van persoonsgegevens onder de AVG valt.
Om deze samenloop te vereenvoudigen, stelt de Europese Commissie voor dat de verwerking van persoonsgegevens op en vanaf eindapparatuur (bijvoorbeeld een laptop of telefoon) uitsluitend wordt geregeld door de AVG. Daarbij blijft de eis voor toestemming bij toegang tot eindapparatuur bestaan, maar er komen uitzonderingen voor doeleinden met een laag risico of wanneer het plaatsen van technologieën noodzakelijk is voor een door de gebruiker gevraagde dienst.
Kritiek op de Digitale Omnibus
Hoewel de Digitale Omnibus kansen voor bedrijven creëert, klinkt er ook stevige kritiek. Maatschappelijke organisaties vrezen dat de voorstellen ten koste gaan van de privacy van burgers. Volgens de Oostenrijkse organisatie NOYB, geleid door privacyjurist Max Schrems, is dit “de grootste aanval op digitale rechten van Europeanen in jaren en een geschenk voor Amerikaanse Big Tech-bedrijven”. Ook kamerlid Barbara Kathmann, van GroenLinks-PvdA, heeft Kamervragen gesteld met als titel “Het slopen van de privacybescherming in de nieuwe Europese Omnibus-wetgeving”. Daarnaast heeft de Autoriteit Persoonsgegevens (AP) gewaarschuwd dat wijzigingen in fundamentele regels zoals de AVG en AI-verordening niet overhaast mogen worden doorgevoerd, dat rechtszekerheid behouden moet blijven en dat innovatie alleen kan samengaan met duidelijke waarborgen voor privacy en autonomie.
Vervolgstappen
De voorstellen worden momenteel besproken in het Europees Parlement en de Raad. De uiteindelijke tekst staat nog niet vast en zal afhangen van intensieve onderhandelingen. Het proces kan dus nog aanzienlijke wijzigingen opleveren. Lexence volgt deze ontwikkelingen nauwlettend. Heeft u vragen of wilt u meer weten over de mogelijke impact van de Digitale Omnibus op uw organisatie? Neem gerust contact op met Heleen Kleinjan en Veerle van den Boomen.
