De Europese Unie werkt in hoog tempo aan een uitgebreid pakket aan wet- en regelgeving rond data, technologie en digitale veiligheid. Deze wetten raken vrijwel elke organisatie die met data, IT of digitale diensten werkt. Het gaat hierbij om zeer veel wetten, sommige al in werking getreden en andere in aantocht. Eerder plaatsten we een kennisartikel over de belangrijkste Europese wetten.
De Europese Unie kiest er nu voor om een snoeimes in deze wetgeving te zetten. Dit heeft vooral invloed op de data, privacy en AI.
Data Act: Wijzigingen & Consolidatie
De Digital Omnibus (COM/2025/837) schrapt een aantal “kleine” wetten en voegt ze samen in grotere kaders. De EU kiest hiermee expliciet voor twee centrale datawetten: de AVG en de Data Act. Alles wat daar logisch onder valt, schuift mee. Daarmee verdwijnen de Data Governance Act, de Open Data-richtlijn en de Verordening Vrij Verkeer Niet-Persoonsgebonden Gegevens en wordt de inhoud hiervan in de Data Act geplaatst. De P2B-verordening verdwijnt in de Digital Services Act (DSA) en Digital Markets Act (DMA).
De Data Act wordt door de Omnibus verstevigd en tegelijk pragmatischer. Enkele sleutelwijzigingen:
- Minder risico op verlies van bedrijfsgeheimen. De plicht om gegevens te delen met derde landen wordt beperkt.
- Overheden mogen minder snel data opeisen, en mkb’s krijgen compensatie.
- Zonder extra kosten overstappen tussen clouddiensten blijft bestaan, maatwerkleveranciers en mkb’ers worden gedeeltelijk ontzien.
Er komt een centraal loket voor publieke datasets. Eén plek om te zien wat overheden beschikbaar hebben.
Impact op privacy en de AVG
In de Digitale Omnibus wordt ook de AVG behandeld. Hoewel de kernprincipes van de AVG intact blijven, introduceert de Omnibus een aantal belangrijke wijzigingen.
- Persoonsgegevens
In de AVG wordt verduidelijkt dat gegevens geen persoonsgegevens zijn voor een entiteit die een persoon redelijkerwijs niet kan identificeren. Daarmee wordt het makkelijker voor organisaties om pseudonieme datasets te gebruiken. - Gerechtvaardigd belang
De Omnibus bevestigt expliciet dat training van AI-modellen en wetenschappelijk onderzoek gerechtvaardigde belangen kunnen zijn. - Bijzondere persoonsgegevens
Residuele bijzondere persoonsgegevens in trainingssets van AI zijn toegestaan, mits organisaties aantoonbaar alles doen om deze te vermijden. Daarnaast worden biometrics voor face unlock expliciet toegelaten. - Meldplicht bij datalekken
Ieder datalek melden wordt verleden tijd. Voor een datalekmelding bij de AP gaat dezelfde drempel gelden als voor het melden van een datalek aan een betrokkene: alleen bij een waarschijnlijk hoog risico voor de rechten en vrijheden van natuurlijke personen moet gemeld worden. Vervolgens gaat de meldtermijn van 72 naar 96 uur.
De wijze van melden verandert ook. Via één centraal Europees meldloket kan een melding worden gedaan voor AVG, NIS2, DORA, eIDAS en CER: report once, share many.
- Rechten van betrokkenen
De plicht om informatie te verstrekken over de gegevensverwerking wordt lichter voor kleine organisaties: bij eenvoudige, niet-data-intensieve situaties waarbij de betrokkene de kerninformatie waarschijnlijk al heeft, hoeft minder informatie verstrekt te worden.
Het recht op inzage wordt ook iets ingeperkt: er komt een lagere drempel bij misbruik van het inzagerecht om inzage te weigeren of een vergoeding te heffen. - DPIA’s
DPIA-lijsten worden EU-breed gestandaardiseerd. Waar er nu 27 nationale lijsten zijn met wat wel en niet DPIA-plichtig is, komt er één Europese lijst van DPIA-plichtige verwerkingen én één Europese lijst van verwerkingen waarvoor geen DPIA verricht hoeft te worden. Een DPIA “voor de zekerheid” hoeft dus minder vaak te worden verricht. - Cookies
Het stelsel omtrent cookies wordt ook opgeschoond: toestemming blijft verplicht, maar hoeft niet gevraagd te worden voor o.a. beveiligings-, statistische en strikt noodzakelijke cookies. Bovendien moeten websites machine-leesbare toestemmingssignalen gaan respecteren. Cookies accepteren of weigeren via browserinstellingen wordt dus mogelijk.
Aanpassingen in de AI Act
Met de Digital Omnibus on AI (COM/2025/836) wordt de AI Act aangepast. Deze wet bestond pas net, waardoor er vooral verfijningen worden doorgevoerd.
Wat springt eruit?
- AI-geletterdheid wordt een overheidstaak. Bedrijven hebben niet langer zelf de plicht om AI-educatie van hun personeel te verzorgen; deze plicht komt terecht bij lidstaten.
- Bijzondere persoonsgegevens mogen verwerkt worden om bias in AI-systemen tegen te gaan.
- De AI Act gaf al een uitzondering op hoog risico-AI voor AI die louter procedurele taken verricht. In de Omnibus wordt afgeschaft dat je deze AI alsnog moet registreren.
- CE-markering wordt gestroomlijnd. Eén gecombineerde aanvraag wordt mogelijk voor de AI Act én sectorale wetgeving zoals de MDR.
- Er komen lagere boetes voor het MKB.
- Er komt uitstel voor verplichtingen bij hoog risico-AI.
De Digitale Omnibus als evolutionaire stap
De Digitale Omnibus is geen nieuwe revolutie, maar wel een interessante evolutionaire stap. Hoewel menig privacy-expert ook kritisch op het pakket is, moge duidelijk zijn dat de Omnibus grote frustraties van bedrijven aanpakt: versnippering, inconsistentie en dubbele verplichtingen.
Opvallend genoeg laat de Omnibus een paar heikele dossiers ongemoeid:
- Het verwerken van persoonsgegevens buiten de EER;
- Onduidelijke definities in de Data Act;
- Overlap in cybersecuritywetgeving.
Voor juristen, compliance-teams en bedrijven betekent de Omnibus vooral één ding: weer bijlezen. We mogen er ook op rekenen dat er nog veel gelobbyd zal worden om de tekst aangepast te krijgen totdat de Omnibus definitief is.
De nieuwe Europese digitale wetgeving brengt grote veranderingen met zich. Ben je actief in de ICT-branche en heb je vragen over de aankomende wetten? Of ben je een verkoper van technische producten en wil je meer weten over jouw rechten en plichten? Neem dan gerust contact op met mij of een van mijn collega’s IT-recht. We denken graag mee.
