De huidige Europese privacywetgeving is complex en lastig voor bedrijven, wat ze onnodig veel administratiewerk oplevert met hogere kosten tot gevolg. Bigtech zegt dit al jaren, maar nu zegt de EU het zelf ook. De op woensdag aangekondigde digitale omnibus moet dat verbeteren. Het doel: wetgeving vereenvoudigen, met name rondom data, cybersecurity en AI, om die administratieve last te verminderen en jaarlijks miljarden euro te besparen bij bedrijven. Maar dan wel 'zonder afbreuk te doen aan onze hoge standaarden voor online eerlijkheid en veiligheid', zei executive vicepresident voor techsoeveriniteit, veiligheid en democratie Henna Virkkunen eerder dit jaar.
Het is maar de vraag of dat helemaal is gelukt. De afgelopen weken lekten namelijk al delen van het conceptakkoord uit. Politico schreef bijvoorbeeld dat de AVG wordt aangepast zodat bedrijven gebruikersdata kunnen inzetten om kunstmatige intelligentie te trainen, zonder daarvoor toestemming van de gebruiker nodig te hebben. Goed nieuws voor AI-bedrijven, uiteraard, maar privacyactivisten gingen direct in verzet. Is die digitale omnibus alleen een versimpeling, of is er meer aan de hand?
Om uit te leggen wat het idee is achter de omnibus, moeten we kijken naar eerdere EU-wetten. "De Europese Commissie heeft een legacy van decennia aan wetgeving", zegt Isabelle Roccia, managing director bij IAPP. IAPP is een internationale stichting voor mensen die werken met privacy en AI-wetgeving. "Door die geschiedenis is het nu een alfabetsoep aan afkortingen geworden", vult onderzoeksdirecteur Joe Jones haar aan. "AVG, DMA, DSA... Bedrijven moeten met honderden wetten werken die overlappen en soms ook elkaar tegenspreken. Je ziet dan ook dat de Commissie nu zegt, 'wacht even, hoe maken we dit inzichtelijk? How can we connect the dots?'."
:strip_exif()/i/2007832688.jpeg?f=imagenormal)
Centraal meldpunt voor datalekken
Jones geeft het voorbeeld van een datalek. Afhankelijk van hoe groot het bedrijf is of wat voor data er is uitgelekt, moet je onder verschillende wetten bij andere drempelwaardes het datalek melden. Onder meer NIS2, de AVG en DORA hebben hier bijvoorbeeld regels voor. "En dat maakt het lastig om te weten aan welke regels je op welk moment moet voldoen. Het kan al lastig zijn voor bedrijven om erachter te komen wat er precies is gebeurd bij zo'n datalek. Laat staan als ze dan ook nog eens moeten uitzoeken hoe ze dit moeten melden."
Daarom komt er één centraal meldpunt waarbij de meldingen naar de relevante toezichthouders gestuurd worden, zegt de Commissie. Dat zorgt ervoor dat rapporteren minder belemmerend is, wat ook cybersecurity moet verbeteren, claimt de Commissie. Het Agentschap van de Europese Unie voor cyberbeveiliging zal dat meldpunt opzetten.
Trainen van AI-modellen wordt opt-out
'Dit zal een discussie opleveren over privacyrechten versus innovatie'
Zo'n centraal meldpunt lijkt een voorstel waar weinig mensen tegen zullen zijn. Dat geldt niet voor andere aspecten van de digitale omnibus. Zo wil de Europese Commissie dat bedrijven hun AI-modellen kunnen trainen op basis van data van gebruikers, zonder hiervoor toestemming te moeten vragen. Het trainen van AI-modellen zou dan een gerechtvaardigd belang zijn, zoals dat onder de AVG heet. "AI-bedrijven zeggen dat het moeilijk is om hun AI-modellen te trainen op basis van gebruikersdata op basis van andere grondslagen, zoals toestemming van gebruikers", zegt Jones. "Ik denk dat dit echt een discussie zal opleveren over privacyrechten versus innovatie. Onder meer de noyb heeft hier eerder kritiek over geuit en riep de Europese Commissie op de plannen te heroverwegen.
"Europa heeft tot dusver niet de volledige voordelen van de digitale revolutie benut", zegt Eurocommissaris Valdis Dombrovskis daarover. "We kunnen het ons niet veroorloven om achter te blijven bij de eisen van een veranderende wereld." De Commissie verwijst ook naar een rapport van de European Data Protection Board, die stelde dat persoonsgegevens gebruikt kunnen worden voor AI-modellen, mits 'elk gebruik in specifieke situaties' geen wetgeving van de Europese Unie of individuele lidstaten overtreedt. Het verwerken van die data moet ook voldoen aan alle voorwaarden van de AVG. "Het voorstel onderwerpt deze verwerking aan strenge waarborgen en zorgt ervoor dat burgers het onvoorwaardelijke recht hebben om bezwaar te maken tegen het verwerken van hun persoonsgegevens."
:strip_exif()/i/2003489148.jpeg?f=imagenormal)
Gepseudonimiseerde persoonsgegevens
De Europese Commissie verduidelijkt ook hoe naar gepseudonimiseerde persoonsgegevens wordt gekeken. Jones: "Je ziet dat hier de afgelopen jaren een vrij binair debat over is ontstaan. De vraag is wat je doet met gegevens waarmee jij als bedrijf iemand niet kan identificeren, maar dat als je die gegevens zou combineren met de data van een ander bedrijf, het dan wel zou kunnen. Het ene kamp vindt dat die data ook als persoonsgegevens beschermd moeten worden, terwijl anderen zeggen dat je dit per geval moet beslissen, wat meer ruimte laat aan bedrijven. Het Europese Hof van Justitie vonniste eerder dit jaar dat gepseudonimiseerde data alleen als persoonsgegevens geldt als een bedrijf een persoon redelijkerwijs kan identificeren. Dat betekent dat dezelfde data voor het ene bedrijf wel als persoonsgegevens gezien kan worden en voor het andere niet. De digitale omnibus weerspiegelt dit."
Onder de digitale omnibus mogen bedrijven datasets delen en gebruiken, mits de gebruikende of ontvangende partij de gebruikers niet kan identificeren. Als deze partij zelf datasets bezit die samen met de nieuwe dataset het mogelijk maken om gebruikers te identificeren, mag die nieuwe dataset niet worden gebruikt. De eerdere rechterlijke uitspraak wordt hiermee dus omgezet naar wetgeving.
:strip_exif()/i/2005128768.jpeg?f=imagenormal)
Cookiebannermoeiheid en uitstel van AI Act
Met de digitale omnibus wil de Commissie ook 'cookiebannervermoeidheid' tegengaan. "Burgers worden nu geconfronteerd met ontelbare cookiepop-upbanners die om toestemming vragen als ze een website bezoeken. Ze vinden het moeilijk om te begrijpen waar de toestemming voor nodig is en wat er met hun data gebeurt. Door deze complexiteit en de grote hoeveelheid pop-upbanners, klikken gebruikers vaak maar op een knop, puur zodat ze de website kunnen bezoeken."
Dit komt niet neer op een echte keuze, zegt de Commissie, dus worden de regels 'gemoderniseerd'. Het ontwerp van cookiebanners moet eenvoudiger worden. Het moet ook mogelijk worden voor makers van besturingssystemen en browsers om de cookiekeuze in het OS of de browser te maken. Burgers hoeven daardoor niet bij elke individuele site hun voorkeuren door te geven.
De Commissie bevestigt ook dat bepaalde maatregelen van de AI Act worden uitgesteld. In eerste instantie zou de EU vanaf augustus 2026 handhaven dat 'hoogrisicomodellen' aan bepaalde maatregelen voldoen, zoals het uitvoeren van impactanalyses, technische documentatie delen met het AI Office, samenvattingen van trainingsdata publiceren en incidenten direct melden. Het was echter nog niet volledig duidelijk waar deze bedrijven aan moeten voldoen, omdat de benodigde standaarden hiervoor nog niet zijn gepubliceerd. Bedrijven kunnen daardoor moeilijk aan de wet voldoen, zegt de Commissie, dus stelt de Commissie die handhaving met maximaal 16 maanden uit.
"Sommigen zullen wellicht zeggen dat er te veel in de omnibus zit, anderen zeggen weer dat er te weinig in zit", zegt executive vicepresident van de Europese Commissie Henna Virkkunen. "Wij denken dat wij een gebalanceerd pakket hebben. We hebben geanalyseerd hoe we innovaties kunnen versnellen, maar we willen de data van onze burgers ook beschermen en beveiligen."
Noyb: 'Cadeautje voor bigtech'
'Europese Commissie wil kernwaarden van AVG kapotmaken'
Privacyorganisaties waren over de eerder gelekte delen van de digitale omnibus kritisch en zijn dat ook over de definitieve versie. Noyb zegt bijvoorbeeld dat de Commissie kernwaarden van de AVG 'kapot wil maken'. "In tegenstelling tot het persbericht van de Commissie gaan deze veranderingen niet 'het hoogste niveau van bescherming van persoonsgegevens waarborgen, maar verlagen ze juist de bescherming voor Europeanen significant." De privacyorganisatie spreekt van een 'cadeautje voor Amerikaanse bigtech' en 'de grootste aanval op Europese digitale rechten in jaren'.
De digitale omnibus maakt het ook niet eenvoudiger voor kleine en middelgrote Europese bedrijven om te werken in de EU, stelt noyb. "De meeste wetteksten worden complexer, minder duidelijk en onlogischer. In plaats van te werken aan het verkleinen van het benodigde papierwerk, wat het grootste probleem is voor Europese bedrijven, introduceert de Commissie juridische loopholes die alleen door grote bedrijven en advocatenkantoren misbruikt kunnen worden'.
Een voorbeeld hiervan is het veranderde beleid rondom pseudonieme data. Omdat het nu afhankelijk is van het bedrijf of het om identificeerbare persoonsgegevens gaat of niet, is dit deel van de AVG complexer geworden. "Dit betekent dat data misschien 'persoonlijk' is of juist niet, afhankelijk van hoe een bedrijf intern denkt of de omstandigheden die ze op dat moment hebben. Zo'n subjectieve definitie maakt het onmogelijk voor gebruikers of toezichthouders om te weten of de AVG van toepassing is in elke casus. In de praktijk maakt dit de AVG moeilijk uitvoerbaar vanwege eindeloze debatten en meningsverschillen rondom de echte intenties en plannen van een bedrijf."
De organisatie is ook kritisch op de voorgestelde wijziging dat AI-bedrijven nu eenvoudiger persoonsgegevens kunnen gebruiken om hun modellen te trainen. "In de praktijk werkt zo'n opt-out niet", zegt noyb-oprichter Max Schrems. Bedrijven en gebruikers weten volgens Schrems in de praktijk niet wiens data in een trainingsset zit, en gebruikers zouden daardoor ook duizenden keren per jaar moeten opt-outen, als een nieuw bedrijf besluit een algoritme te trainen met hun data.
Bits of Freedom: 'Geen versimpeling, maar ondermijning van privacywet'
'Marktbelangen worden vooropgesteld en burgers betalen de rekening'
Bits of Freedom zegt tegen Tweakers 'heel bezorgd' te zijn over 'deze ontwikkeling waarbij Europese privacywetgeving en andere digitale rechten worden afgezwakt'. "Er wordt gesproken over versimpeling door de Europese Commissie, maar dat doet geen recht aan de werkelijkheid. We zien bijvoorbeeld dat het verbod op de verwerking van bijzondere persoonsgegevens, zoals ras, religie en gezondheidsgegevens, wordt opgeheven voor het trainen van AI. Ook wordt de mogelijkheid om bedrijven boetes op te leggen als ze gevaarlijke AI verkopen, uitgesteld. Dat is geen versimpeling, maar ondermijning van regels die notabene nét tot stand zijn gekomen via een democratisch proces."
De privacyorganisatie zegt dat 'marktbelangen vooropgesteld worden en burgers betalen de rekening doordat hun grondrechten geschonden worden', en dat de EU 'een sterke urgentie lijkt te voelen' om een wedloop aan te gaan met de VS en China. "Als de EU zich echt wil onderscheiden op het gebied van digitale innovatie, dan zouden ze moeten vasthouden aan de bescherming van mensenrechten bij de ontwikkeling en inzet van technologie. In plaats daarvan zet de EU nu de Europese waarden in de uitverkoop."
De Autoriteit Persoonsgegevens zegt in een eerste reactie tegen Tweakers het streven van de Commissie om verschillende regels te vereenvoudigen, 'goed' te begrijpen, 'zolang vereenvoudiging niet leidt tot een afname van de bescherming van de rechten van mensen'. De toezichthouder benadrukt dat voor invoeren het duidelijk moet zijn wat de gevolgen zijn voor burgers, bedrijven en toezichthouders. "Die gevolgen heeft de Commissie niet onderzocht. Wetten die zo belangrijk zijn voor de bescherming van mensen moeten niet overhaast worden aangepast. Zorgvuldigheid staat dus voorop."
De privacytoezichthouder vindt het ook belangrijk dat wijzigingen van wetten 'duidelijk en praktisch uitvoerbaar blijven voor organisaties én burgers, zodat de gezamenlijke Europese kaders stevig en eenduidig blijven'. Voorstellen om ruimere mogelijkheden te creeëren voor het trainen van AI-systemen vragen tot slot 'om duidelijke waarborgen' om ervoor te zorgen dat mensen zelf de regie houden over hun gegevens en die toepasingen veilig zijn. De AP zegt het volledige voorstel nu grondig te bestuderen en op basis daarvan een formele positie te bepalen. Die wordt later met andere toezichthouders en 'relevante ministeries' gedeeld.
Het was voor de officiële presentatie al duidelijk dat de digitale omnibus niet onomstreden zou zijn, maar de toelichting van de Commissie heeft die zorgen vooralsnog niet kunnen wegnemen. De grote vraag op dit moment is hoe het Europees Parlement en de lidstaten ernaar kijken. Die moeten namelijk nog instemmen, waarna de 'vereenvoudigde' wetgeving ingevoerd kan worden. Bigtech en privacyorganisaties hebben dus nog even om te lobbyen. Reken er dan ook maar op dat het laatste nog niet is gezegd over de digitale omnibus.
Update, 17.40 uur – Het artikel is aangevuld met de reactie van de Autoriteit Persoonsgegevens.
:strip_exif()/i/2005763778.jpeg?f=fpa)
:strip_exif()/i/2007906924.jpeg?f=fpa)
:strip_exif()/i/2007832416.jpeg?f=fpa)
:strip_exif()/i/2006492806.jpeg?f=fpa)
/u/98125/Tweakers-_avatar.png?f=community){kind=avatar}
/u/155722/Looneytunes.png?f=community){kind=small}
:strip_exif()/u/295799/cryava.gif?f=community){kind=small}
/u/153650/2women60x60a.JPG?f=community){kind=small}
:strip_exif()/u/19665/ElfEverQuestTweakersSmall.gif?f=community){kind=small}