/de-digitale-omnibus-moet-naleving-privacyregels-vereenvoudigen-en-lukt-dat/ 2025-12-03T13:07:02+00:00 0df414fa
Ga naar de inhoud
1 december 2025 • Nieuws

De Digitale Omnibus moet naleving privacyregels vereenvoudigen – en lukt dat?

De Europese Commissie heeft de Digitale Omnibus gepresenteerd: een pakket wijzigingen dat verschillende digitale wetten – waaronder de AVG en e-privacyregels – actualiseert. Eén van de meest besproken onderdelen is de aanpassing van de definitie van persoonsgegevens alsmede de nieuwe kaders voor het gebruik van data bij de training van AI-modellen. Wat houden deze wijzigingen in? Wij praten u in dit artikel bij.

europe-3220208_1920

Wat is de Digitale Omnibus en wat is het doel?

De Digital Omnibus is geen volledig nieuwe wet, maar een actualisatie van bestaande Europese digitale wetgeving. De Commissie wil met dit pakket de uitvoering van privacyregels vereenvoudigen, nalevingskosten verlagen en een juridisch raamwerk creëren dat innovatie – met name rond AI – ondersteunt. De wijzigingen moeten organisaties meer duidelijkheid bieden en tegelijkertijd zorgen voor een werkbaar evenwicht tussen gegevensbescherming en digitale ontwikkeling.

Welke wijzigingen raken privacy en gegevensbescherming?

De belangrijkste wijzigingen die privacy raken zijn de volgende:

  1. Wijziging definitie persoonsgegevens: de Omnibus legt vast dat gegevens alleen als persoonsgegevens gelden wanneer een organisatie zelf over de middelen beschikt om een individu te identificeren. Dit sluit aan bij jurisprudentie (EDPB vs SRB), die eveneens benadrukte dat de identificeerbaarheid moet worden beoordeeld vanuit de positie van de verwerkingsverantwoordelijke.
  2. AI-training op basis van gerechtvaardigd belang: voor het trainen van AI-modellen introduceert de Omnibus een mogelijkheid om persoonsgegevens – onder voorwaarden inclusief bijzondere persoonsgegevens – te verwerken op basis van het gerechtvaardigd belang. Organisaties moeten daarvoor passende waarborgen treffen en betrokkenen behouden het recht om bezwaar te maken.
  3. Cookies van e-privacy naar AVG: de cookieregels worden in de AVG opgenomen. Toestemming hoeft niet opnieuw te worden gevraagd zolang het doel gelijk blijft. Na weigering mag zes maanden geen nieuwe consent uitvraag worden gedaan. Ook geeft de Commissie ruimte voor browser toestemming voor cookies.
  4. Meldplicht datalekken: alleen datalekken met een hoog risico hoeven nog aan de toezichthouder te worden gemeld. De meldtermijn wordt verruimd naar 96 uur en er komt één meldloket voor meldingen van datalekken onder verschillende wetgevingen (single point of entry).
  5. Wetenschappelijk onderzoek: reeds verzamelde persoonsgegevens mogen straks makkelijker opnieuw worden gebruikt voor wetenschappelijk onderzoek of statistiek. Een organisatie hoeft dan niet meer te bewijzen dat dit nieuwe doel past bij het oorspronkelijke doel van de verwerking (het principe van doelbinding Art 6 (4) AVG). Wel moeten waarborgen worden getroffen om de privacy te beschermen.
  6. Biometrische verificatie: organisaties mogen biometrische gegevens gebruiken om iemands identiteit te verifiëren, maar alleen als die gegevens niet ergens centraal worden opgeslagen – ze moeten onder controle blijven van de persoon zelf (decentrale opslag).

Hoe wordt de Digitale Omnibus ontvangen?

De reacties op de Omnibus zijn divers. Privacyorganisaties zoals noyb uiten zorgen dat de versmalde definitie van persoonsgegevens ertoe kan leiden dat bepaalde vormen van data-analyse en advertentietechnologie buiten het bereik van de AVG vallen. Zij vrezen dat organisaties te veel ruimte krijgen om zelf te bepalen of gegevens persoonsgegevens zijn. Tegelijkertijd zien juristen juist voordelen in deze verduidelijking, omdat deze aansluit bij recente rechtspraak – waaronder uitspraken van de Hoge Raad – waarin identificeerbaarheid door de verwerkingsverantwoordelijke centraal staat. Ook de verruiming van de meldplicht datalekken wordt door veel organisaties positief beoordeeld, omdat dit beter aansluit bij de praktijk waar low impact datalekken niet worden opgevolgd door de toezichthouder.

Wat concludeert DMCC?

Vanuit DMCC concludeert Jitty van Doodewaerd dat de Digitale Omnibus zinvolle verduidelijkingen bevat, maar ook veel vragen niet beantwoord. De aangepaste definitie van persoonsgegevens geeft organisaties helderheid, maar houdt geen rekening met toepassingen zoals gedragsmodellering – waarbij zonder persoonsgegevens toch gepersonaliseerde diensten kunnen ontstaan. Dat maakt dat de juridische werkelijkheid en de digitale praktijk verder uit elkaar kunnen lopen.

AI training onder gerechtvaardigd belang is ook wat kort door de bocht, omdat AI-modellen vaak grootschalig, complex en grensoverschrijdend zijn. Een generieke verwijzing naar het gerechtvaardigd belang biedt dan weinig houvast. En het opnieuw introduceren van browsergebaseerde toestemming past slecht bij moderne server-side tracking, waarin veel informatie buiten zicht van de browser wordt verwerkt.

De Digitale Omnibus is daarmee een nuttige technische actualisatie van de AVG, maar geen antwoord op de bredere structurele uitdagingen van de digitale economie, waarin de grootste spelers zich in de Verenigde Staten bevinden en de machtsverhoudingen al langer scheef zijn verdeeld. Ook vragen rond intellectueel eigendom blijven onbesproken: denk aan de deals die grote muzieklabels sluiten met AI-bedrijven, terwijl onduidelijk is hoe de individuele artiest als rechthebbende daadwerkelijk wordt beschermd.

Heeft u vragen naar aanleiding van dit artikel? Neem dan contact met ons op.

Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.

Jitty van Doodewaerd
Jitty van Doodewaerd
Directeur privacy DMCC Group
 E-mail