De Europese Commissie heeft eind november 2025 het voorstel voor een digitale omnibusverordening gepresenteerd. Dit voorstel omvat een bundeling van wetswijzigingen. Het voorstel raakt onder meer de AI-verordening en de Algemene Verordening Gegevensbescherming (AVG).
De Europese Commissie wil een meer uniforme en efficiënte digitale interne markt creëren. Er wordt door bedrijven al langer geklaagd over complexe en overlappende regels afkomstig uit het Europese digitale wetgevingspakket. Kort gezegd wil de Europese Commissie daarom met haar voorstel:
Tegelijkertijd klinken er geluiden uit het veld die het tegenovergestelde effect van de gepresenteerde aanpassingen onderschrijven. Naast de potentiële negatieve gevolgen voor de bescherming van grondrechten, kunnen de voorgestelde wijzingen ook concrete praktische gevolgen hebben voor bedrijven. In deze blog worden de belangrijkste implicaties van de voorgestelde wijzingen in de AVG besproken.
Definitie persoonsgegevens
De huidige AVG-definitie is breed. Alle informatie die direct of indirect naar een natuurlijk persoon herleidbaar is, valt eronder. Het voorstel introduceert een relatieve benadering, namelijk dat gegevens alleen persoonsgegevens zijn voor een partij als deze specifieke partij over middelen beschikt die zij redelijkerwijs zou gebruiken om de betreffende persoon te identificeren. Hierdoor kunnen gepseudonimiseerde gegevens buiten de reikwijdte van de AVG vallen wanneer identificatie praktisch onmogelijk is of niet aannemelijk wordt geacht. Deze wijziging maakt de definitie contextafhankelijk en daarmee subjectief. Wat voor de ene partij persoonsgegevens zijn, hoeft dat voor een andere niet te zijn. Dit leidt niet tot vereenvoudiging, maar juist tot meer onzekerheid. Wie bepaalt of een partij bepaalde middelen redelijkerwijs zal inzetten voor identificatie?
Gerechtvaardigd belang
De Europese Commissie wil expliciet toestaan dat persoonsgegevens mogen worden verwerkt op basis van gerechtvaardigd belang voor twee doeleinden:
Dit betekent dat in principe geen toestemming van betrokkenen nodig is om hun persoonsgegevens te gebruiken voor AI-training. Door deze uitzondering kunnen AI-systemen grote hoeveelheden persoonsgegevens verwerken, terwijl andere vormen van dataverwerking strenger gereguleerd blijven. Dit kan het principe van een gelijk speelveld binnen de EU ondermijnen, omdat er meer ruimte wordt gegund aan AI. Vooral grote internationale bedrijven profiteren hiervan, aangezien zij beschikken over de middelen om AI-systemen te ontwikkelen en daarbij gegevens van Europese burgers aan te wenden. Voor betrokkenen is het vrijwel onmogelijk om te achterhalen of hun persoonsgegevens hiervoor worden ingezet, waardoor het uitoefenen van bezwaar in de praktijk nauwelijks haalbaar is.
Daarnaast is de definitie van wetenschappelijk onderzoek breed geformuleerd in het voorstel. Het gaat namelijk om elk onderzoek dat kan leiden tot innovatie, waaronder technologische ontwikkeling. Het risico bestaat dat bedrijven deze uitzondering gebruiken om commerciële verwerkingen van persoonsgegevens af te schermen van de AVG.
Rechten van betrokkenen
Het voorstel beoogt de informatieplicht voor MKB te versoepelen. In eenvoudige situaties, waarbij weinig persoonsgegevens worden verwerkt en redelijkerwijs kan worden aangenomen dat de betrokkene al op de hoogte is, hoeft minder informatie te worden verstrekt. Ook geldt een uitzondering voor wetenschappelijk onderzoek. Als het informeren van betrokkenen onmogelijk is of een onevenredige inspanning vergt, vervalt deze verplichting.
Daarnaast wordt het recht op inzage beperkt om misbruik te voorkomen. Een verzoek van een betrokkene mag worden geweigerd of er mag een redelijke vergoeding worden gevraagd wanneer de verwerkingsverantwoordelijke redelijkerwijs kan aannemen dat het verzoek duidelijk ongegrond of buitensporig is, of wanneer het recht voor andere doeleinden dan gegevensbescherming wordt gebruikt. De bewijslast voor de verwerkingsverantwoordelijke wordt met deze aanpassing verlaagt. Hoewel dit kan leiden tot een verlaging van administratieve lasten voor bedrijven, gaat het ten koste van de transparantie voor betrokken.
Bijzondere categorieën persoonsgegevens
Onder de AVG is het verwerken van bijzondere categorieën persoonsgegevens in principe verboden. Dit betreft onder meer biometrische gegevens die worden gebruikt voor unieke identificatie. Het voorstel maakt verwerking van deze gegevens mogelijk wanneer dit noodzakelijk is voor identiteitsbevestiging en volledig onder controle staat van de betrokkene.
Het voorstel staat onder bepaalde omstandigheden toe dat alle bijzondere categorieën persoonsgegevens worden verwerkt voor het ontwikkelen en functioneren van AI-systemen. De reikwijdte van deze uitzondering is onduidelijk, waardoor AI-systemen mogelijk steeds vaker worden getraind met dergelijke gegevens. Dit vergroot het risico op onethisch gebruik en bemoeilijkt de naleving van rechten van betrokkenen, wat negatieve gevolgen kan hebben voor compliance. Bovendien kan deze verruiming grote bedrijven een onevenredig concurrentievoordeel opleveren.
DPIA’s
De lijsten voor DPIA’s worden op Europees niveau gestandaardiseerd. Er zal een lijst komen met verwerkingen waarvoor een DPIA wel verplicht is en waarvoor geen DPIA verplicht is. Dit verkleint de noodzaak om uit voorzorg een DPIA te moeten doen.
Datalekken
In het voorstel is opgenomen dat de meldplicht slechts ten aanzien van datalekken die waarschijnlijk een hoog risico voor de rechten en vrijheden van personen vormen, moet gelden. De termijn voor melding wordt verlengd van 72 naar 96 uur. Daarnaast komt er één Europees single-entry point. Dat wil zeggen dat meldingen onder verschillende wetgeving bij één Europese autoriteit kunnen worden gedaan.
Kansen en risico’s
Het voorstel creëert kansen:
Maar ook risico’s:
Het voorstel biedt kansen voor innovatie en vermindering van administratieve lasten, maar kan ook de privacybescherming verzwakken. Voor nu kan er naar de daadwerkelijke effecten slechts worden gegist. Het voorstel is immers slechts een voorstel. Bedrijven doen er goed aan de ontwikkelingen nauwlettend te volgen en tijdig maatregelen te treffen om hierop in te spelen.
Neem bij vragen contact op met Hieke van Druten, juridisch medewerker IT, Privacy & Cybersecurity of met één van onze andere specialisten binnen team IT, Privacy & Cybersecurity.
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!
