Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

EU geeft AI toegang tot gevoelige data en belooft minder cookiebanners

De Europese Commissie heeft de digitale omnibus gepresenteerd, een regelpakket dat bestaande privacywetgeving moet vereenvoudigen. Zo moet het voor bedrijven makkelijker worden om aan wetten te voldoen. AI-bedrijven krijgen ook meer toegang tot gegevens van Europeanen.

Met de digitale omnibus stelt de Commissie voor om bestaande regels voor AI, cybersecurity en data, te versimpelen, schrijft de Commissie in een persbericht. Zo wil zij een meldpunt oprichten waar organisaties datalekken kunnen melden. Nu zijn er diverse wetten die hierover gaan, zoals NIS2, AVG en DORA. Deze hebben eigen meldpunten en eigen drempelwaarden. Door een centraal meldpunt op te richten, moet het voor bedrijven makkelijker worden aan de verschillende meldplichten te voldoen.

De Commissie spreekt ook van een 'innovatievriendelijk privacyframework', waarbij zij 'gerichte wijzigingen' wil doorvoeren aan de AVG. Hierbij wordt 'de kern' van de AVG en het hoogste niveau aan persoonlijke gegevensbescherming intact gehouden, schrijft de Commissie. Het doel is om 'innovatie te versterken en naleving van wetgeving te vergroten'.

In het persbericht schrijft de Commissie niet hoe zij de AVG wil aanpassen, maar in eerder uitgelekte wetteksten waar Politico over schreef, stond dat de Commissie het voor AI-bedrijven mogelijk wil maken om data te gebruiken die onder 'bijzondere categorieën' vallen, zoals het geloof of de politieke voorkeur van een persoon, of zijn of haar gezondheidsdata. Die bedrijven mogen die data dan gebruiken om hun AI-modellen te trainen.

De Europese Commissie wil ook dat er een centrale AI-toezichthouder komt voor general-purpose-AI-modellen. Nu moet elke lidstaat nog een aparte toezichthouder hiervoor hebben, die bijvoorbeeld in Nederland deels door de Autoriteit Persoonsgegevens wordt opgepakt. De Data Act moet ook aangepast worden 'om vier stukken wetgeving samen te voegen tot één stuk' om de wetten duidelijker te maken.

De Commissie wil de cookiewetgeving ook 'moderniseren' door het aantal cookiebanners dat gebruikers te zien krijgen, te verkleinen. Het moet voor gebruikers mogelijk worden om hun cookievoorkeuren op te geven via hun besturingssysteem of browser, waarna websites en diensten die cookievoorkeuren overnemen.

Het doel van de digitale omnibus is om de administratieve lasten voor bedrijven te verlichten en om het makkelijker te maken om aan Europese wetgeving te voldoen. Het Europees Parlement en de lidstaten moeten nog wel akkoord gaan met de voorgestelde plannen. Er is op basis van de uitgelekte plannen wel kritiek. Privacyorganisatie noyb spreekt bijvoorbeeld van 'deregulatie, niet simplificatie'.

Door Hayte Hugo

Redacteur

Feedback • 19-11-2025 13:44 86

19-11-2025 • 13:44

86

Lees meer

gisteren

Europa wil privacyregels 'versimpelen', maar privacyorganisaties zijn kritisch

36
AP wil strenge regels voor handhavingsonderzoek overheid via openbare bronnen
AP wil strenge regels voor handhavingsonderzoek overheid via openbare bronnen Nieuws van 19 november 2025
EU start samen met ACM onderzoek naar regulering AWS en Microsoft Azure
EU start samen met ACM onderzoek naar regulering AWS en Microsoft Azure Nieuws van 18 november 2025
Aangepast voorstel zonder verplichte chatcontrole krijgt steun EU-landen
Aangepast voorstel zonder verplichte chatcontrole krijgt steun EU-landen Nieuws van 13 november 2025
'Europa overweegt AI Act af te zwakken met onder andere centraal toezicht'
'Europa overweegt AI Act af te zwakken met onder andere centraal toezicht' Nieuws van 7 november 2025
Denemarken schrapt omstreden chatcontrole uit EU-wetsvoorstel
Denemarken schrapt omstreden chatcontrole uit EU-wetsvoorstel Nieuws van 31 oktober 2025
Meer producten en artikelen
Politiek en recht Privacy Europa Europese Commissie Europese unie gdpr Kunstmatige intelligentie

Reacties (86)

-Moderatie-faq
86
86
44
7
0
38
Wijzig sortering

Sorteer op:

Weergave:
PeterDons 19 november 2025 13:49
"AI-bedrijven mogelijk wil maken om data te gebruiken die onder 'bijzondere categorieën' vallen, zoals het geloof of de politieke voorkeur van een persoon, of zijn of haar gezondheidsdata."

Gevaarlijke ontwikkeling. Reden te meer om zoveel mogelijk data die ze overal opslaan te laten vernietigen als je daarom kan verzoeken.
Reageer
Lisadr @PeterDons19 november 2025 14:07
Ik heb bij 32 organisaties een recht op inzage ingediend. Slechts 3 hebben na 2 maanden gereageerd en slechts 1 gaf aan mij data te willen verwijderen, maar kon mij geen bewijs laten zien van verwijdering.
Jouw data is meer waard dan de boetes die ze kunnen krijgen door recht op inzage en verwijdering te negeren!
Reageer
Mathijs Kok @Lisadr19 november 2025 15:49
Kan je die lijst met 32 organisaties eens delen? Mijn persoonlijke ervaringen zijn heel anders en ik krijg vrijwel altijd keurig antwoord.


Verwijderen is echter soms erg moeilijk. Wij hebben een hooglopende ruzie met de belasting omdat we van sommige verkopen geen data meer kunnen laten zien anders dan dat er een verkoop was. De belasting wil zien dat er een klant is die de order heeft gedaan, maar de wet vereist dat ik die data wis op verzoek van de klant.

Klanten begrijpen ook vaak niet dat ze hun recht op service verliezen als ik niet kan zien dat ik iets aan ze verkocht heb. Het komt met regelmaat voor dat iemand heel boos is dat we ze niet meer kunnen vinden in onze bestanden en dat later blijkt dat ze zelf om verwijdering gevraagd hebben.
Reageer
webhalla @Mathijs Kok20 november 2025 11:42
Fiscale bewaarplicht prevaleert boven de AvG. https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/bewaren-van-persoonsgegevens . Dus facturen hoeven bij een wis verzoek niet direct verwijderd te worden. Offerte, order, verzend informatie, marketingmail gegevens etc kunnen wel gewoon gewist worden. De AvG is niet heilig.

Zo zijn er meer bewaarplichten. Anders zouden veroordeelden een wis verzoek van hun detentie kunnen aanvragen na de veroordeling en meteen vrijkomen 😉
Reageer
DhrRob @Lisadr19 november 2025 14:09
Oprecht benieuwd, hoe verwacht je een bewijs van verwijdering te zien? Op een bevestiging na, wat kan een bedrijf nog meer doen?
Reageer
Llopigat
@DhrRob19 november 2025 14:42
Een onafhankelijke toezichthouder die dat waarborgt voorbeeld. Of dat ze zelf een onafhankelijk bedrijf het verwijderingsproces laten verifiëren.

Zoals het nu gaat heb ik er ook geen vertrouwen in.
Reageer
Cilph @Llopigat19 november 2025 14:55
"Een onafhankelijke toezichthouder die dat waarborgt voorbeeld."

Wil je het ook nog in drievoud op papier? Klinkt ff een beetje bot maar vanuit ISO 27001 certificering en dergelijke moet je dit al kunnen aantonen. Een aparte toezichthouder en de kosten die hier bijkomen klinkt in mijn oren als complete geldverspilling.
Reageer
Llopigat
@Cilph19 november 2025 15:05
Dat iso gezeur is echt een wassen neus. Elke keer als het gebeurt krijgen we een papiertje met "als je wat gevraagd wordt moet je dit zeggen". Het is gewoon een toneelspel waar de uitkomst al van vaststaat.

Wat we dan moeten zeggen is iets van "ik ben bekend met onze policy en die kan je hier vinden: link". En dat is dan een of ander vaag document waar niemand ooit naar kijkt in hun werk.

[Reactie gewijzigd door Llopigat op 19 november 2025 15:10]

Reageer
Cilph @Llopigat19 november 2025 15:08
Intussen zit je security officer wel drie dagen opgesloten met de auditor om aan alle bewijslast te voldoen. Dat jij als medewerker er weinig last van hebt mag je eerder blij mee zijn.
Reageer
supersnathan94
@Cilph19 november 2025 15:24
Intussen zit je security officer wel drie dagen opgesloten met de auditor om aan alle bewijslast te voldoen.
Nou woehoe drie hele dagen. wauw.

Dat is z'n werk he?
Reageer
Cilph @supersnathan9419 november 2025 15:29
En de vuilnisman werkt ook maar 1 dag in de week zeker. :+

Ik bedoel te zeggen dat er voor ISO compliance veel meer achter de schermen speelt dan dat je als werknemer door hebt met je ~5% kans op een persoonlijk steekproef interviewtje.
Reageer
supersnathan94
@Cilph19 november 2025 15:48
En de vuilnisman werkt ook maar 1 dag in de week zeker.
Nee. Als jij dat wil denken, be my guest.
Ik bedoel te zeggen dat er voor ISO compliance veel meer achter de schermen speelt dan dat je als werknemer door hebt met je ~5% kans op een persoonlijk steekproef interviewtje.
Maar zo heel veel meer is het niet. Het gebeurt bij webshops enorm vaak dat de ISO27001 certificering helemaal niet eens klopt. precies van die instanties die hierboven aangehaald worden als "ze reageren niet"

Veel organisaties pronken tegenwoordig met een ISO 27001-certificaat, maar niet elk certificaat is wat het lijkt. Waar een écht ISO-certificaat een zware audit, onafhankelijke toetsing en jaarlijkse controles vereist, bestaan er ook varianten die vooral bedoeld zijn om mooi op een PDF te staan. Deze pseudo-ISO’s lijken op het echte werk, maar missen iedere vorm van betrouwbaarheid.

Het begint vaak bij organisaties die graag willen laten zien dat hun beveiliging op orde is, maar die geen tijd of geld willen investeren in het implementeren van de norm. Ze zoeken een shortcut, en die bestaat helaas: niet-geaccrediteerde certificerende instanties. Dit zijn partijen die zichzelf “auditor” noemen, een indrukwekkend logo op een website zetten en zonder enige formele accreditatie een certificaat uitreiken. Het resultaat ziet er professioneel uit, maar is waardeloos. Er is geen onafhankelijke controle, geen toezicht en geen enkele garantie dat de organisatie ook maar één control uit ISO 27001 daadwerkelijk heeft ingevoerd.

Daarbovenop zijn er bedrijven die audit en consultancy combineren. Ze helpen je eerst “ISO-klaar” te worden, schrijven alle documenten voor je uit en komen daarna doodleuk zelf de audit doen. In de echte ISO-wereld is dat verboden: de auditor moet onafhankelijk zijn en mag nooit dezelfde processen hebben ontworpen die hij vervolgens beoordeelt. Toch gebeurt het, vooral bij goedkope en snelle aanbieders, en het levert certificaten op die formeel gezien niet meer zijn dan gekleurde papierdecoratie.

Een andere variant is de papieren ISO, waar de audits wél door een echte partij worden gedaan, maar waar het bedrijf intern nauwelijks iets leeft. Policies bestaan, registers zijn gevuld en processen ogen gestructureerd, maar niemand werkt er echt mee. In een auditmodus doen medewerkers braaf alsof alles dagelijks wordt gevolgd, terwijl in werkelijkheid alleen voor de audit tijdelijk alles strak staat. Het is geen regelrechte fraude, maar wel een lege huls die niets zegt over daadwerkelijke informatiebeveiliging.

Het gevaar van deze pseudo-ISO’s is dat ze vertrouwen scheppen zonder dat de onderliggende beveiliging daadwerkelijk aanwezig is. Klanten, partners en zelfs overheden nemen certificaten vaak voor waar aan, zonder te controleren of ze afkomstig zijn van een geaccrediteerde instantie. Daardoor ontstaat een schijnveiligheid die precies het tegenovergestelde bereikt van waar ISO 27001 voor bedoeld is: transparantie, zekerheid en betrouwbaarheid.

Uiteindelijk bewijst een certificaat pas iets als het door een onafhankelijke, geaccrediteerde partij is afgegeven en jaarlijks opnieuw getoetst wordt. Alles daarbuiten lijkt misschien op ISO, ruikt soms naar ISO, maar heeft met echte informatiebeveiliging vaak niets te maken. Pseudo-ISO is een façade: mooi voor op een website, maar leeg zodra je er even tegenaan duwt.

Realistische schatting: 20 tot 40% van de webshops met een “ISO 27001”-claim heeft een pseudo-certificaat

Waarom?
  • Veel webshops zijn klein - middelgroot

    -> te weinig budget of kennis voor een echte ISO 27001-implementatie.
  • Grote Europese e-commerce platforms rapporteren dat ongeveer 25 - 35% van hun partners claims heeft die niet verifieerbaar zijn.
  • Auditors melden dat een verrassend hoog percentage van ingestuurde certificaten bij due diligence niet in officiële RvA/IAF registers voorkomt.
  • Er zijn heel veel niet-geaccrediteerde aanbieders die voor €499 tot €1999 “snelle ISO-certificering” verkopen. Dit is exact de doelgroep van kleine webshops.
Voor kleine webshops, zonder grote klanten of financiële audits zal dit eerder richting 40 tot 50%.

Webshops vragen zelden om audits door grote klanten, hebben weinig wettelijke druk, willen graag vertrouwen uitstralen (“veilig betalen”, “ISO-gecertificeerd”), doen vaak dropshipping vanuit landen waar pseudo-ISO heel normaal is en hebben doorgaans geen ISMS, logging, risk management of documentatie

Veel webshops kopen gewoon een “certificaat PDF” omdat ze niet weten dat accreditatie bestaat, of het hen niets uitmaakt zolang klanten het geloven, of ze bewust goedkoop scoren om trust-badges te tonen.

En dit is nog maar webshops. ga eens kijken wat voor absurditeiten Meta allemaal uitvoerd:
Meta’s surveillance isn’t limited to your online activity. The company also encourages businesses to send them data about your offline purchases and interactions. Even deleting your Facebook and Instagram accounts won’t stop Meta from harvesting your personal data. Meta in 2018 admitted to collecting information about non-users, including their contact details and browsing history.
"Ja nee we hebben al jouw data verwijderd hoor. Wel toevallig dat we ook een nieuwe gebruiker zijn tegengekomen met vergelijkbare interesses, maar jouw data is weg hoor."

[Reactie gewijzigd door supersnathan94 op 19 november 2025 21:08]

Reageer
Nystran @supersnathan9419 november 2025 20:02
En waarom niet gewoon verwijderen. Zijn meer vissen in de zee...
Waarom die achterdocht?
(data is weg - toekomstige modellen moeten het met 0,00001% minder data doen)
Reageer
Alex_L @supersnathan9420 november 2025 17:02
Ik ben het eens met je beschrijving van deze markt en de pseudo-organisaties die veel nep-certificaten uitgeven. Zelf ben ik echter Lead Auditor geweest voor ISO 27001, 27701 en 9001 bij diverse grote, gerenommeerde en geaccrediteerde organisaties die jij ook noemt.

Het ISO-framework vormt een stevig fundament voor organisaties. Het is belangrijk om te benadrukken dat ISO 27001 zich richt op informatiebeveiliging, waarbij cybersecurity slechts een onderdeel is, evenals compliance met wet- en regelgeving zoals de AVG. Deze norm levert echt waarde als een organisatie het integraal opneemt in haar interne processen en dagelijkse werking.

ISO is juist ontworpen om toepasbaar te zijn voor zowel kleine als grote organisaties. Ik heb audits uitgevoerd bij bedrijven van ongeveer 10 FTE, maar ook bij organisaties met meer dan 150.000 medewerkers. Dit betekent soms ook een uitdaging, want veel normelementen, met name Annex A, zijn breed interpreteerbaar. Hoewel ISO hiervoor richtlijnen biedt, interpreteren de RVA (de accrediterende instantie) en de NEN (de Nederlandse vertaler en distributeur van ISO) deze soms verschillend. Vervolgens bepalen ook geaccrediteerde certificeringsinstanties hun eigen invulling van hoe ze elk normelement willen auditen. De auditor die uiteindelijk de audit uitvoert, baseert zich dan op de ISO-norm, input van NEN/RVA en de procedures van de certificeringsinstantie. Hierbij speelt de kwaliteit en kennis van de auditor een cruciale rol.

Helaas kom ik regelmatig auditors tegen die weinig tot oppervlakkige kennis hebben van IT en cybersecurity, maar toch worden toegelaten vanwege personeelstekorten binnen geaccrediteerde instellingen. Dit leidt ertoe dat veel technische aspecten, zoals cryptografie en secure development, onvoldoende worden beoordeeld.

Aan het einde van de rit kan een organisatie een certificaat van een geaccrediteerde instelling hebben, maar zegt dat weinig over de daadwerkelijke staat van informatiebeveiliging in de organisatie.

Te vaak zie ik dat organisaties formeel voldoen aan de eisen van brede normen en geaccrediteerde instellingen, die soms vanwege commerciële belangen flexibel omgaan met klanten om ze niet kwijt te raken, terwijl de onderliggende beveiliging fragiel blijft.

Als laatste puntje, ik heb klanten gecertificeerd die formeel aan alle eisen voldeden, maar vanuit een technisch en cybersecurity-perspectief waren ze dermate kwetsbaar dat ze 'zo lek als een mandje' waren.

Kortom, waar het certificaat vandaan komt, geeft een indicatie, maar het oorspronkelijke doel, een betrouwbaar certificaat als bewijs waardoor je een organisatie niet meer hoeft te controleren, is in de praktijk vaak een illusie.
Reageer
honey @Cilph19 november 2025 15:52
En toch weten we ook dat bedrijven en instanties niet altijd data verwijderen, ook al zeggen ze dat wel te doen. Bijvoorbeeld, zelfs de politie houdt zich niet eens aan de wet.
Reageer
JustFogMaxi @Cilph19 november 2025 16:00
En laat maar alleen het mooie nieuw systeem zien en die niet oude legacy meuk... Ik ken het ook hoor.
Reageer
PeterDons @Llopigat19 november 2025 20:01
Vaak staat data in een database en kunnen bijvoorbeeld zorginstellingen niet alles verwijderen omdat de leverancier dit niet mogelijk heeft gemaakt. op het moment dat je toestemming geeft om data te delen dan verspreid je data en weet je niet eens waar die terecht is gekomen. Bij een verwijder verzoek moet je dan ook aangeven dat je alle toestemmingen intrekt en de data ook bij de andere partijen verwijdert moet worden. Je kan ook vragen aan wie jou data beschikbaar is gesteld en eisen dat ook die data verwijdert gaat worden.
Reageer
Lisadr @DhrRob19 november 2025 19:31
Door te reageren op mijn verzoek en aan te geven dat ze mijn data hebben verwijderd uit alle relevante systemen. Of als ze het niet volledig kunnen of mogen verwijderen, dan aangeven wat ze wel of niet hebben verwijderd en waarom.
Reageer
bzuidgeest
@Lisadr19 november 2025 14:37
Als het om rekeningen gaat e.d. hoeven ze die niet te verwijderen. Dus wat wilde je weg hebben?

Dat slechts 3 reageerden is wel slecht.

Je ook ook geen negative bewijzen. Bewijzen dat iets er niet is, is moeilijk. Ze kunnen niet laten zien wat er niet is.
Reageer
supersnathan94
@bzuidgeest19 november 2025 15:26
Bewijzen dat iets er niet is, is moeilijk
Bewijzen dat bepaalde procedures doorlopen zijn om verwijdering te garanderen (auditlogs bijvoorbeeld) kan echter wel.

Of een before and after screenshotje bij bijvoorbeeld een "password reset dialoog" die ineens aangeeft "dit account is niet bekend" is ook al iets.
Reageer
bzuidgeest
@supersnathan9419 november 2025 15:29
Bewijzen dat bepaalde procedures doorlopen zijn om verwijdering te garanderen (auditlogs bijvoorbeeld) kan echter wel.

Of een before and after screenshotje bij bijvoorbeeld een "password reset dialoog" die ineens aangeeft "dit account is niet bekend" is ook al iets.
Dus als ik jou een audit logje stuur met dat iets gedaan is ben jij happy? Dat bewijst niets. Behalve dan dat ik een audit log kan maken. Zelfde met screenshotjes. Je moet er allemaal maar op vertrouwen.

Als je niet wil dat een bedrijf bepaalde data heeft dan moet je die gewoon niet inleveren. En je kan van een shop niet verwachten dat ze wat jij aanschaft anonimiseren. Dat is namelijk voor garantie en service ook gewoon nodig. En mogelijk de belastingdienst. Het is je bedrijfsboekhouding.
Reageer
supersnathan94
@bzuidgeest19 november 2025 15:33
Je moet er allemaal maar op vertrouwen.
tsja, maar dan had je nooit je data af moeten staan in the first place. Want dan moet je er maar op vertrouwen dat ze het allemaal veilighouden en niet lekken.
Dus als ik jou een audit logje stuur met dat iets gedaan is ben jij happy?
Als dat auditlogje voor mij wel te traceren is naar mijn data dan ja. Als dan later blijkt dat je het toch wel hebt, heb ik in ieder geval iets om te bewijzen dat ik het verzoek heb gedaan en jij daar actief wat aan hebt gedaan. Als het dan daarna lekt heb ik ook meer stok om mee te slaan omdat je me kennelijk hebt voorgelogen over de procedure. Dat is een verschil.
Als je niet wil dat een bedrijf bepaalde data heeft dan moet je die gewoon niet inleveren. En je kan van een shop niet verwachten dat ze wat jij aanschaft anonimiseren. Dat is namelijk voor garantie en service ook gewoon nodig. En mogelijk de belastingdienst. Het is je bedrijfsboekhouding.
Nee exact. Dat kan ook niet echt anders.
Reageer
PeterDons @supersnathan9419 november 2025 20:02
Je staat niet altijd vrijwillig data af als het om gezondheidszorg gaat.
Reageer
supersnathan94
@PeterDons19 november 2025 21:09
100%. Meestal is dat zelfs niet vrijwillig en heb je geen keuze.
Reageer
bzuidgeest
@supersnathan9419 november 2025 16:15
Als het dan daarna lekt heb ik ook meer stok om mee te slaan omdat je me kennelijk hebt voorgelogen over de procedure. Dat is een verschil.
In theorie, in de praktijk moet je opboksen tegen bedrijven met veel diepere zakken om advocaten te betalen. En als het gelekt is, is het al te laat.
Reageer
supersnathan94
@bzuidgeest19 november 2025 16:53
Zonder die bewijsjes moet je dat ook doen, maar dan kun je helemaal niks aantonen. Dus de vraag is ook wat redelijkerwijs nog handig is.
Reageer
Quintiemero @Lisadr19 november 2025 14:21
Ik haal hier niet uit hoeveel jouw data daadwerkelijk moesten verwijderen, want dat hoeft niet zomaar.
Reageer
Llopigat
@Lisadr19 november 2025 14:34
Nou het is meer dat het zelden tot boetes komt. De handhaving heeft er geen fuck om dat ze jouw verzoek eindeloos negeren en zodra je een klacht indient doen ze alsof er een administratief probleem was en geven ze wat je wil, terwijl ze de rest van de mensen nog steeds laten hangen.

Een ander probleem is dat de meeste big tech bedrijven via de Ierse toezichthouder werken en die voert helemaal geen fuck uit omdat het land er zoveel aan verdient.

[Reactie gewijzigd door Llopigat op 19 november 2025 14:39]

Reageer
PdeBie @PeterDons19 november 2025 14:23
Bijzondere categorieën. Net zo concreet als “rechtmatig belang”
Reageer
ikkuhqhp @PdeBie19 november 2025 14:41
De bijzondere categorieën zijn redelijk duidelijk gedefinieerd op het moment: "persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid" (art. 9 AVG)

De vraag is natuurlijk wanneer iets "blijkt" of gegevens "over" iets zijn. Het Europees Hof heeft bijvoorbeeld gezegd dat als de gegevens over wie je echtgenoot is online staan, dat gegevens over je seksuele gerichtheid zijn. En dat is in beginsel verboden.

-edit-

De wet spreekt overigens over gerechtvaardigd belang

[Reactie gewijzigd door ikkuhqhp op 19 november 2025 14:42]

Reageer
apeklootje @PdeBie19 november 2025 14:57
ja die 67 data brokers die je een voor een moet afvinken wegens geen zin in het geven aan hun algemeen belang...
Reageer
demianmonteverd @apeklootje19 november 2025 15:51
Ik neem als ik een partij zie, die dit zo heeft opgemaakt, steeds vaker de moeite om alles te weigeren (zeker als het handmatig moet). Zal helaas een van weinige gebruikers zijn, maar als meer dit gaan doen bij die partijen, stoppen ze hopelijk een keer met die onzin. Niemand heeft 23 partijen met meetgegevens nodig voor het verbeteren van een webdienst.
Reageer
NEK
19 november 2025 14:19
Als ik alles lees, en dat heb ik gedaan, kom ik nu tot de volgende samenvatting want in de officiële documenten wordt de hele operatie gepresenteerd als "vereenvoudiging", "harmonisatie" en "zonder het hoge beschermingsniveau van de AVG aan te tasten" maar als je vanuit de burger kijkt dan lees ik het volgende:
  1. Er komt een expliciete extra uitzondering op het verbod om bijzondere gegevens te verwerken, speciaal voor AI.
  2. AI-training op basis van gerechtvaardigd belang wordt verankerd als normaal scenario.
  3. Pseudonieme data kan makkelijker buiten het beschermingsregime vallen voor bepaalde partijen.
  4. Transparantie en uitoefening van rechten wordt praktisch lastiger (inzage, datalekken).
Dat betekent in de praktijk:

Onze bescherming verschuift van "bijzondere gegevens zijn echt de rode lijn" naar "bijzondere gegevens mogen meeliften zolang het maar voor AI en innovatie is en er ergens in de papieren staat dat er maatregelen zijn genomen." |:(

Ik vind dit echt onvoorstelbaar slecht voor elke burger in de euro zone.
Reageer
Llopigat
@NEK19 november 2025 14:37
Ja ze zien duidelijk geld hangen in de AI industrie of laten ze zich gek maken dat het een soort race is. Nou gaan we die echt nooit winnen van de VS dus het is onzin het te proberen. Bovendien "winnen" betekent een paar maanden voorsprong in AI.

Ik vind het ook erg slecht want het betekent dat je dan niet eens meer bezwaar kan maken.

Volgens mij doet de EU dit ook omdat Trump zo loopt te drammen dat hun big tech tegengewerkt wordt. Heel slecht dat ze daarin toegeven. Het lost niks op, hij vindt dan alleen maar een ander stokpaardje om over te klagen. De laatste maanden geven ze continu toe.

[Reactie gewijzigd door Llopigat op 19 november 2025 14:40]

Reageer
NEK
@Llopigat19 november 2025 14:42
Maar wat mij veel meer raakt is dat onze privacy wordt ingeruild voor de mogelijkheid om AI-modellen te trainen en dat is alles behalve vooruitgang maar gewoon het verlagen van onze bescherming in ruil voor iets wat vooral grote techspelers voordeel oplevert onder het mom van AI-training/innovatie. En als dat betekent dat bijzondere persoonsgegevens straks "residueel" in trainingssets mogen blijven hangen, dan schuiven we de grens die ooit heel bewust is neergezet. Daar verlies je als burger meer mee dan je ooit terugkrijgt aan "innovatie". ;(
Reageer
Llopigat
@NEK19 november 2025 14:45
Ja het stomme is ook dat die grote AI boeren miljarden uitgeven in dure TPU kaarten (ook van Amerikaanse makers). Maar als ze moeten betalen voor al die content die ze binnenslurpen is het huis te klein. Zie bijvoorbeeld de rechtszaak tussen OpenAI en Newyork times.

Het maakt ook duidelijk dat veel mensen hier bezwaar tegen maken. Als dat niet zo was zouden ze niet zo'n wijziging maken die bezwaar onmogelijk maakt.

[Reactie gewijzigd door Llopigat op 19 november 2025 14:45]

Reageer
Tintel
@NEK19 november 2025 14:39
Yep....absurd veel geld in AI => super sterke lobby => politiek buigt direct...

Na alle "pas op voor den AI" is het nu vooral "laat de AI maar z'n gang gaan"....

En het vertrouwen in de politiek daalt weer wat verder....
Reageer
NEK
@Tintel19 november 2025 14:44
Ja, helaas helemaal waar..... Op zulke momenten verlang ik terug naar de simpele internet dagen met de eveneens simpele nokia telefoons......
Reageer
apeklootje @NEK19 november 2025 15:01
Al je sociale media accounts verwijderen, enkel surfen via VPN, anoniem met een browser die je vertrouwd, verder nog geen data bij Google of Microsoft online opslagen en je bent een eind op weg.

Foto's neem ik op een fototoestel dat ik daarna via een oude Sony laptop die niet verbonden is met internet doorsluis naar een externe harde schijf, noem me gerust een wappie...
Reageer
NEK
@apeklootje19 november 2025 15:03
Nee, ik noem je eerder een realist die duidelijk door heeft wat gaat komen!
Reageer
sandiman @NEK19 november 2025 15:22
Wat het in dit geval nog ernstiger maakt is dat we voorheen konden "vertrouwen" op de bescherming van de AVG, wat de noodzaak tot het niet geven c.q. beperken c.q. laten verwijderen van persoonlijke data behoorlijk beperkte. Zeker voor het grote publiek. Met dit initiatief wordt de noodzaak ineens veel groter, terwijl de data allang gedeeld is en de boetes daarvoor nooit gaan komen omdat de AI bedrijven "alvast vooruit liepen"op de wet. Ik wens ons dan ook allemaal heel veel succes met het opsporen en verwijderen van alle direct en indirect vergaarde, gestolen en verkochte persoonsgegevens in welke obscure database dan ook ter wereld... /sarcasm denk dat ik ChatGPT maar eens ga vragen om daar een samenvatting van te maken .... /sarcasm
Reageer
eheijnen @NEK19 november 2025 15:22
Kan goed zijn dat de Amerikanen (achter de schermen) de EU het mes op keel hebben gezet met hoge (Trump)Tarieven om dit afgezwakt te krijgen...
Reageer
ikkuhqhp 19 november 2025 13:52
De omnibus is volgens mij hier te vinden
Reageer
M3m3nt0m0r1 19 november 2025 13:48
In het persbericht schrijft de Commissie niet hoe zij de AVG wil aanpassen, maar in eerder uitgelekte wetteksten waar Politico over schreef, stond dat de Commissie het voor AI-bedrijven mogelijk wil maken om data te gebruiken die onder 'bijzondere categorieën' vallen, zoals het geloof of de politieke voorkeur van een persoon, of zijn of haar gezondheidsdata. Die bedrijven mogen die data dan gebruiken om hun AI-modellen te trainen.
En daar is het ware gezicht van de EU weer. :r
Privacy is echt dood als het aan hun ligt.

[Reactie gewijzigd door M3m3nt0m0r1 op 19 november 2025 13:49]

Reageer
ikkuhqhp @M3m3nt0m0r119 november 2025 14:00
Nou enige aanpassing lijkt me wel handig. Een voorbeeld: het bezoeken van een online apotheek betekent op het moment dat er bijzondere persoonsgegevens worden verwerkt nadat het Europees Hof die definitie met Lindenapotheke enorm wijd heeft getrokken.

Nou is het verwerken van bijzondere persoonsgegevens in beginsel verboden, dus zul je als apotheekwebsite (of als je paracetamol verkoopt, zie de uitspraak!) uitdrukkelijke toestemming moeten ophalen, een zwaardere vorm van toestemming. Volgens de richtlijnen van de toezichthouders komt dat neer op "filling in an electronic form, by sending an email, by uploading a scanned document carrying the signature of the data subject, or by using an electronic signature." Dat is natuurlijk absurd. Zijn we eindelijk van de cookiebanners af*, mag je een formulier gaan scannen om een website te bezoeken om paracetamol te bestellen.

Nou wordt die soep natuurlijk niet zo heet gegeten, maar feit is dat er weeffouten in de AVG zitten en dat het niet direct "deregulatie" is als we sommige dingen rechttrekken.

*in het voorstel mag je max een keer per 6 maanden cookietoestemming vragen

[Reactie gewijzigd door ikkuhqhp op 19 november 2025 14:01]

Reageer
Niema @ikkuhqhp19 november 2025 14:08
Wat ik hieruit nog niet helemaal begrijp is: Waarom zou ik ai nodig hebben bij het bestellen van een paracetemol? Uit dit bericht lijkt het vooral zo te zijn dat AI bedrijven uitzonderingne krijgen, maar niet webshops of apotheken. Dan zou Lindenapotheke eerst ook samen moeten werken met een AI bedrijf om dit zonder formulier te kunnen doen.
Reageer
ikkuhqhp @Niema19 november 2025 14:18
Dat zijn (gelukkig!) twee losstaande dingen, voor zover ik nu gelezen heb. Er staat zowel iets in over AI trainen, namelijk dat dat in principe een gerechtvaardigd belang is, en als het goed is (zover ben ik nog niet met lezen) ook iets over wat bijzondere persoonsgegevens zijn. En dat zou iets beperkter moeten zijn dan het Hof ervan gemaakt heeft.

-edit-

Er staat wel degelijk een uitzondering in om AI te trainen op bijzondere categorieën. De logica lijkt me dat je anders een systeem krijgt dat bijvoorbeeld niet weet wat Christendom, althans daar niet mee om kan gaan in gesprekken omdat het context mist. Voor gespecialiseerde toepassingen nog veel belangrijker zoals medische AI natuurlijk

[Reactie gewijzigd door ikkuhqhp op 19 november 2025 14:29]

Reageer
R4gnax
@ikkuhqhp19 november 2025 20:47
*in het voorstel mag je max een keer per 6 maanden cookietoestemming vragen
Dat is niets nieuws. Dat is nu ook al het geval.
Onder de richtlijn oneerlijke handelspraktijken is het al verboden om consumenten bij herhaling lastig te blijven vallen om akkoord te gaan met een overeenkomst - wat het verlenen van toestemming voor het plaatsen van cookies ook gewoon is.
Uitzondering daarop is dat er vziw in de huidige wetten ook ergens al een wettelijke plicht leeft om elke zes maanden een check-up te doen met consumenten om te kijken of ze vinden dat hun privacy instellingen nog goed staan, dwz ze er aan te herinneren dat ze akkoord gegaan zijn met het delen van bepaalde gegevens en of ze dat nog steeds willen doen.

Wat ook nu al verkapt toegepast wordt als de vraag of je wel/niet wilt delen.
Reageer
ikkuhqhp @R4gnax19 november 2025 22:24
Natuurlijk is dat geen overeenkomst. Er zijn over een weer geen afdwingbare prestaties. Overigens heeft het Europees Hof dat ook duidelijk gemaakt in Bundeskartellambt/Meta.
Reageer
mjtdevries @ikkuhqhp20 november 2025 14:30
maar feit is dat er weeffouten in de AVG zitten
Nee. De weeffout zit bij die rechters die een redenatie opzetten die totaal niet in lijn is met de AVG.
Toevallig heb ik recent de definitie van medische gegevens opgezocht in de AVG, en die mag echt wel wat beter gedefinieerd worden. Maar hoe die rechters er mee aan de haal zijn gegaan slaat echt helemaal nergens op.
Als je hun redenatie volgt dan zouden alle bedrijven in Europa die een zieke werknemer hebben automatisch de wet overtreden. Dat kan uiteraard niet waar zijn.
Reageer
ourari @M3m3nt0m0r119 november 2025 14:24
Dat de gehele EU privacy altijd dood zou willen hebben is echt onzin. De EU is groter dan de Europese Commissie. Bovendien heeft de EU ons ook juist de GDPR gegeven. Maar de politieke wind is gekeerd, dus nu heeft de EU een ander gezicht dan voorheen, ja.

Kiezers hebben bij de Europese verkiezingen de EU rechts-conservatiever gemaakt. Ook de regeringen van lidstaten zijn rechtsaf geslagen. Dat betekent dat er meer steun is voor 'deregulatie' en om het bedrijfsleven vrije baan te geven.

Daarnaast wordt er ook van buitenaf enorme druk gezet op Brussel. De lobby van Big Tech is groter dan ooit, en valt inmiddels samen met het agressieve buitenlandbeleid van de regering Trump.

Ik zou het allemaal graag anders zien, maar land- en continentgenoten hebben hiervoor gestemd.
Reageer
kodak
@ourari19 november 2025 15:07
Als een van de belangrijkste bestuursorganen van de EU stelt 'de kern' van de AVG in stand te houden, terwijl hun voorstel belangrijke rechten uit die kern ontneemt en verplaatst, dan valt dat op te vatten dat privacy dood is. Je hebt immers geen privacy als anderen recht over je persoonlijke gegevems krijgen en je daar zelf niets over te zeggen hebt.
Reageer
ourari @kodak19 november 2025 15:12
Dat kun je vinden, maar de claim waar ik op reageerde was dat de gehele EU dit altijd al wilde. Dat is onjuist. Dit is niet het ware gezicht van de gehele EU, dit is het huidige gezicht van de Europese Commissie.
Reageer
Llopigat
@ourari19 november 2025 14:48
Ja ik vind ook dat de EU steeds meer bestaansrecht opgeeft. Als ze niet meer de burger maar de industrie beschermen, waarom bestaan ze dan.

En de mensen die op conservatief rechts stemmen zijn meestal de armere mensen die niets te zien krijgen van al die megawinsten. En die stemmen er ook niet voor vanwege het bedrijfsleven. Het gaat ze meer om immigratie en zich bemoeien met wat mensen in de eigen onderbroek doen. Het is meer dat big tech hierop heeft ingehaakt.

[Reactie gewijzigd door Llopigat op 19 november 2025 14:54]

Reageer
ourari @Llopigat19 november 2025 14:58
Ja ik vind ook dat de EU steeds meer bestaansrecht opgeeft.
Hiermee leg je mij woorden in de mond. Ik zeg nergens dat ik vind dat de EU bestaansrecht opgeeft.

Als burgers kiezen voor partijen die pleiten voor kleinere overheid, minder regulering etc. dan doet de EU dus wat de burger wil. Of dat het beste is voor de burger is een tweede. Zolang we elkaar in Europa te lijf gaan met woorden in Brussel, in plaats van met wapens elders op het continent, vervult de EU haar kerntaak.
Reageer
pordkert 19 november 2025 13:56
Ik was blij met de AVG. Maar ik vind dit een nare en zeer ongewenste ontwikkeling.
dat de Commissie het voor AI-bedrijven mogelijk wil maken om data te gebruiken die onder 'bijzondere categorieën' vallen, zoals het geloof of de politieke voorkeur van een persoon, of zijn of haar gezondheidsdata. Die bedrijven mogen die data dan gebruiken om hun AI-modellen te trainen.
Wat een verschrikking deze maatregel. Hier zit ik helemaal niet op te wachten en staat naar mijn idee ook haaks op waarvoor de AVG ooit opgezet was. Jammer dat ze nu de privacy weg lijken te geven.
Reageer
PdeBie @pordkert19 november 2025 14:12
"bijzondere categorieen" vind ik ook al zo'n vage term. Net als "rechtmatig belang" bij cookie walls.
Reageer
Cambionn @PdeBie19 november 2025 14:25
Het duid op wat meestal "bijzondere persoonsgegevens" wordt genoemd (voluit is dat "bijzondere categorieën van persoonsgegevens"), en dat is wel gedefinieerd. Persoonsgegevens zijn alles wat direct of indirect aan een persoon gelinkt is of kan worden, en kan erg breed worden. De bijzondere zijn een groepje hoog risico persoonsgegevens gedefinieerd in artikel 9 van de AVG:
persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
Waarom iemand besloot het af te korten naar "bijzondere categorieën" ipv de gebruikelijke "bijzondere persoonsgegevens" weet ik niet.

[Reactie gewijzigd door Cambionn op 19 november 2025 14:30]

Reageer
revolution-nl 19 november 2025 13:50
"De Europese unie spreekt van innovatievriendelijk privacyframework" Bedankt daar ging mijn koffie, Europa en innovatie...

Inmiddels dreigt de situatie te ontstaan dat wij in Europa het slechtste krijgen uit alle werelden en worden wij ondertussen op alle vlakken links en rechts voorbij gestreefd, zorgelijk.

[Reactie gewijzigd door revolution-nl op 19 november 2025 13:53]

Reageer
cagXZ 19 november 2025 13:50
Noyb slaat de spijker op zijn kop ;) Hun argumenten staan in een brief gepubliceerd ipv hun website:

https://noyb.eu/sites/default/files/2025-11/Joint%20Letter%20Digital%20Omnibus%2010112025.pdf
Reageer
Scribe 19 november 2025 13:51
Het moet voor gebruikers mogelijk worden om hun cookievoorkeuren op te geven via hun besturingssysteem of browser, waarna websites en diensten die cookievoorkeuren overnemen.
Om even positief te beginnen, hier ben ik heel erg blij mee. Ik wordt helemaal gek van die cookiebanners, al helemaal als er geen "alles weigeren" optie is. Voor mij reden genoeg om een website te vermijden.
In het persbericht schrijft de Commissie niet hoe zij de AVG wil aanpassen, maar in eerder uitgelekte wetteksten waar Politico over schreef, stond dat de Commissie het voor AI-bedrijven mogelijk wil maken om data te gebruiken die onder 'bijzondere categorieën' vallen, zoals het geloof of de politieke voorkeur van een persoon, of zijn of haar gezondheidsdata. Die bedrijven mogen die data dan gebruiken om hun AI-modellen te trainen
Maar ik hoop toch echt dat dit niet waar is. Wat is een echt goede toepassing van AI dan waarvoor je bijzondere persoonsgegevens moet gaan misbruiken?
Reageer
edie @Scribe19 november 2025 15:22
[...]

Om even positief te beginnen, hier ben ik heel erg blij mee. Ik wordt helemaal gek van die cookiebanners, al helemaal als er geen "alles weigeren" optie is. Voor mij reden genoeg om een website te vermijden.
Nergens in de GDPR of andere EU regels staat dat er zo'n cookiebanner moet zijn. Er staat alleen dat een gebruiker expliciet toestemming moet geven voor tracking of andere extra data. Ook mogen er cookies worden geplaatst voor de normale werking van de website.

Die cookiebanners zijn gewoon 'malicious compliance' vanuit de advertentiebedrijven, waardoor mensen een afkeer krijgen van 'de EU'.
Reageer
R4gnax
@edie19 november 2025 21:00
Die cookiebanners zijn gewoon 'malicious compliance' vanuit de advertentiebedrijven, waardoor mensen een afkeer krijgen van 'de EU'.
Precies. Spijker op de kop. Bedrijven die dit doen zouden juist extra hard beboet moeten worden.
Reageer
R4gnax
@Scribe19 november 2025 20:58
Om even positief te beginnen, hier ben ik heel erg blij mee.
Nou perfect toch. Dan hoeft de nieuwe omnibus herziening er dus niet te komen.

In de huidige wetstekst is onder het recht van bezwaar in Artikel 21 namelijk al een voorziening opgenomen die stelt dat het mogelijk moet zijn om bij afname van een dienst in de informatiemaatschappij, cq. een digitale dienst - waaronder het bezoek van een website, via technische specificaties geautomatiseerd bezwaar tegen verwerking in te dienen.

De exacte tekst:
In het kader van het gebruik van diensten van de informatiemaatschappij, en niettegenstaande Richtlijn 2002/58/EG, mag de betrokkene zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij wordt gebruikgemaakt van technische specificaties.
Reageer
cnoobie 19 november 2025 13:52
Ik ben hier geen expert in, en lees slechts dit artikel op tweakers ipv de daadwerkelijke voorstellen, maar met termen als ‘makkelijker voor bedrijven’ en ‘innovatievriendelijk’ klinkt het vooral als knieval aan big tech. Als Europees burger wil ik juist beschermd worden tegen die ongebreidelde data honger. Maak het bedrijven liever moeilijker ipv makkelijker.
Reageer
soncholo 19 november 2025 13:59
Dit plan lijkt dus de kernprincipes van onze privacywet (de GDPR) ernstig te zullen ondermijnen. Als je meer wilt lezen: de EDRi spreekt van de grootste terugval in digitale rechten ooit in de EU en TechPolicy voorspelde dat de EU hiermee haar wereldwijde voorbeeldrol op het gebied van privacy en AI de facto opgeeft.

Als kers op de taart dreigt deze hervorming te zullen verlopen via een versnelde procedure, zonder voldoende transparantie, impactassessment of echte inspraak. Als je dit allemaal in verband wilt zien met wat er verder nog allemaal gaande is (Breken van encryptie via Chat Control en de age verification, vervolgens gaan verbannen van VPN's want dat zijn "loopholes", verbieden van sideloading door Google, ...) zitten we wat mij betreft op een katapult richting dystopia. Maar doemdenken is gemakkelijk, je zou ook wat Europarlementariërs hierover kunnen aanschrijven.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq