Digital Omnibus: het einde van klassieke Europese gegevensbescherming in zicht?

De Europese Commissie presenteerde haar Digital Omnibus (een voorstel tot meerdere wetswijzigingen) afgelopen week als een logische stap om digitale wetgeving overzichtelijker te maken en bedrijven te ontlasten. In werkelijkheid blijkt het pakket veel verder te reiken dan “technische aanpassingen”. Bepaalde wijzigingen raken aan de fundamenten van de AVG en verschuiven de machtsverhouding tussen burgers, bedrijven en toezichthouders. In deze blog bespreken we eerst hoe de Commissie het voorstel positioneert, waarna we ingaan op de belangrijkste kritiekpunten en de bredere politieke context.

Het officiële narratief van de Europese Commissie

Volgens de Commissie moet de Digital Omnibus worden gezien als een moderniseringsslag die versnippering tegengaat, wat blijkt uit een perspublicatie. De herstructurering van de Data Act, het verplaatsen van cookie-regels van de ePrivacy-richtlijn naar de AVG (Omnibus, p. 8) en een gecentraliseerde meldplicht voor incidenten worden gepresenteerd als noodzakelijke actualisaties. Daarbij speelt het Draghi-rapport een centrale rol: de stelling dat Europa te veel administratieve lasten kent en dat dit innovatie belemmert, vormt de beleidsmatige grondslag van het pakket.

Belangrijkste kritiekpunten

We baseren ons bij deze bespreking hoofdzakelijk op de analyse van NOYB, een bekende non-profitorganisatie die de privacybelangen van Europese burgers behartigt. Max Schrems en zijn team juridische experts onderscheiden vier kernproblemen.

Een subjectieve definitie van persoonsgegevens

Een van de meest ingrijpende voorstellen in de Digital Omnibus is de introductie van een subjectieve definitie van het begrip “persoonsgegevens”. De AVG werkt nu met een simpele, objectieve toets: of gegevens direct of indirect tot een persoon te herleiden zijn (art. 4 AVG). De Omnibus vereist daarentegen dat de individuele verwerkingsverantwoordelijke daadwerkelijk in staat is om de gegevens te gebruiken voor identificatie (Omnibus, p. 19). Is zij dat niet, bijvoorbeeld wegens een gebrek aan technische middelen, dan is de AVG op haar niet van toepassing.

In de praktijk ontstaat hiermee de situatie dat datasets met pseudoniemen of advertentie-ID’s voor de ene partij niet langer als persoonsgegevens gelden, terwijl exact dezelfde gegevens bij een andere partij wél onder de AVG vallen. Bedrijven mogen zelf aangeven of zij personen kunnen identificeren en of dat hun doel is. Dat maakt de reikwijdte van de wet afhankelijk van interne bedrijfskeuzes in plaats van de aard van de gegevens zelf. Bovendien geeft het sectoren die intensief gebruikmaken van pseudoniemen, zoals de advertentie- en datahandelsindustrie, een feitelijke route om buiten de AVG te opereren.

De wetswijziging maakt ‘innovatie’ dan wel mogelijk, maar heeft ook een averechts effect. Betrokkenen en toezichthouders kunnen niet gemakkelijk meer vaststellen of de AVG in een concreet geval van toepassing is. Bedrijven die samenwerken kunnen met dezelfde dataset onder verschillende juridische regimes vallen, wat juist een belemmerende werking kan hebben. 

Toegang tot privégesprekken op afstand

De bevoegdheid om data op apparaten te benaderen, nu nog strikt gereguleerd onder de ePrivacy-richtlijn, wordt onder de AVG geplaatst (Omnibus, p. 21 jo. 59), inclusief nieuwe uitzonderingen voor bijvoorbeeld statistische doeleinden of bepaalde veiligheidsdoelen. In de tekst van de Omnibus is een duidelijke verschuiving zichtbaar richting een breder en flexibeler kader voor toegang tot “terminal equipment” (waaronder PC's en smartphones). In de praktijk ontstaat daarmee een minder voorspelbare bescherming van gegevens die traditioneel als hoogsensitief worden beschouwd.

AI-training en -operatie als grondslag voor gegevensverwerking

Het voorstel creëert een uitdrukkelijke opening voor het verwerken van persoonsgegevens voor het trainen en laten functioneren van AI-systemen (Omnibus, p. 62), zelfs als het gaat om de verwerking van bijzondere categorieën persoonsgegevens (par. 9 lid 2 AVG; Omnibus, p. 56). Verwerking kan enkel worden voorkomen door middel van een opt-out van de betrokkene. Hoewel deze bepalingen worden gepresenteerd als noodzakelijk voor bias-detectie en innovatie, is de uitvoering problematisch. Bedrijven hebben doorgaans geen inzicht in welke gegevens bij welke personen horen, juist vanwege het gebruik van grootschalige datasets, waardoor opt-outs in de praktijk niet handhaafbaar zijn.

Dit alles terwijl er bijzonder weinig draagvlak bestaat onder de Europese bevolking voor het gebruik van persoonsgegevens voor AI-training, zoals eerder onderzoek van Noyb heeft laten zien.

Beperking van inzagerechten

De Omnibus beperkt het recht op inzage van verwerkte persoonsgegevens door een betrokkene tot situaties waarin dit expliciet voor “data protection purposes” wordt gebruikt (p. 20). Dit staat op gespannen voet met vaste rechtspraak van het Hof van Justitie, waarin is bevestigd dat betrokkenen inzage van gegevens mogen vragen voor elk legitiem doel, zoals het oplossen van arbeidsconflicten, het voeren van journalistieke onderzoeken of het corrigeren van financiële gegevens. De voorgestelde beperking vergroot de informatie-asymmetrie tussen burgers en bedrijven en verzwakt een cruciaal instrument om naleving af te dwingen.

Politieke context: druk vanuit Washington

De timing van de Digital Omnibus valt samen met intensieve onderhandelingen tussen de EU en de Verenigde Staten over tarieven op onder andere staal en aluminium. Vanuit Washington is expliciet aangedrongen op een “meer gebalanceerde” toepassing van Europese digitale regelgeving, in ruil voor mogelijke tariefverlagingen. Hoewel de Commissie niet erkent dat beide dossiers gekoppeld zijn, laat de inhoud van de Omnibus een duidelijke verschuiving zien richting versoepeling van digitale verplichtingen voor grote platforms en AI-exploitanten.

In recent commentaar waarschuwde voormalig EU-Commissaris Margrethe Vestager dat de Unie moet vasthouden aan de beloften die aan Europese burgers zijn gedaan. Dat signaal kan moeilijk los worden gezien van de genoemde geopolitieke spanning.

Reflectie

De Digital Omnibus bevat wijzigingen die raken aan de kernbeginselen van Europese gegevensbescherming. De verschuiving naar meer interpretatieruimte, ruimere uitzonderingen en minder strenge gebruikersrechten past niet bij het oorspronkelijke ontwerp van de AVG, dat juist uitging van objectieve criteria, sterke individuele rechten en transparante verwerkingen.

Wanneer deze koerswijziging wordt geplaatst in de context van externe druk, met name vanuit de Verenigde Staten en grote technologiebedrijven, ontstaat een zorgelijk beeld. De belofte van vereenvoudiging lijkt in de praktijk samen te vallen met een afbrokkeling van fundamenten die de EU tot dusver heeft onderscheiden op het gebied van gegevensbescherming.

NOYB werkt momenteel aan een diepgaande juridische analyse van het volledige Omnibus-voorstel. Zodra deze beschikbaar is, zullen wij deze via de nieuwsfeed op de AI-Forum-homepage doorlinken