De Europese Commissie heeft vandaag twee ingrijpende Digital Omnibus-voorstellen gepresenteerd, waarmee zij het fundament van digitale bescherming en mensenrechten in de EU fors dreigt af te zwakken. Volgens digitale burgerrechtenorganisatie EDRi betekent deze stap een ongekende deregulering van cruciale regels zoals de Algemene Verordening Gegevensbescherming (AVG), de ePrivacy-richtlijn en de AI-Act.
Deze voorstellen komen niet onverwacht. Een week geleden verschenen via Politico en Reuters gelekte documenten waaruit al bleek dat de Commissie verregaande versoepelingen voorbereidde onder het mom van “administratieve vereenvoudiging”. Uit deze documenten bleek dat bedrijven persoonsgegevens, waaronder gevoelige gegevens, zouden mogen gebruiken voor AI-training op basis van een “gerechtvaardigd belang”. Ook werd zichtbaar dat de Commissie overwoog om definities van persoonsgegevens te herzien en om cookie-regels te verplaatsen naar de AVG. Organisaties zoals noyb en EDRi waarschuwden toen al voor een grote achteruitgang van privacybescherming.
Het uitlekken van deze plannen leidde onmiddellijk tot kritiek van een brede coalitie van maatschappelijke organisaties, vakbonden en mensenrechtenorganisaties. Het Nederlands Juristen Comité voor de Mensenrechten (NJCM) wees erop dat de Digital Omnibus niet alleen vereenvoudiging brengt, maar ook de bescherming van burgers structureel verzwakt. Volgens het NJCM geeft de EU hiermee te veel ruimte aan de lobby van Big Tech en aan actoren die zich verzetten tegen een eerlijk, veilig en democratisch digitaal landschap.
Met de Digital Omnibus en de Digital Omnibus voor AI introduceert de Europese Commissie een herstructurering van het digitale regelgevingskader. Hoewel dit wordt gepresenteerd als een vereenvoudiging, blijken belangrijke waarborgen in de praktijk te worden afgezwakt. Een voorbeeld is het verplaatsen van een essentiële ePrivacy-bepaling over toegang tot apparaten naar de AVG. Hierdoor kunnen bedrijven in bepaalde gevallen gegevens uit apparaten lezen zonder voorafgaande toestemming. De nieuwe “privacy-signal”, die mensen in staat moet stellen eenvoudig toestemming te weigeren, wordt pas over twee jaar ingevoerd en is bovendien niet van toepassing op veel media-platforms.
Verder worden centrale onderdelen van de AVG herschreven. De definitie van persoonsgegevens wordt ingeperkt. Bedrijven krijgen meer ruimte om gevoelige gegevens te gebruiken voor AI-training. Ook worden de regels rond geautomatiseerde besluitvorming versoepeld. Deze aanpassingen vergroten het risico op discriminatie en maken toezicht lastiger. Minderheidsgroepen lopen daardoor een grotere kans op profilering en monitoring. Tegelijkertijd krijgen zowel bedrijven als overheden meer mogelijkheden om persoonsgegevens te verzamelen en te verwerken met minder transparantie en minder controle.
De Digital Omnibus voor AI verzwakt daarnaast fundamentele waarborgen uit de AI-Act. Leveranciers en ontwikkelaars van AI-systemen kunnen zich in bepaalde omstandigheden onttrekken aan kernverplichtingen op het gebied van transparantie en documentatie. Ook de invoering van verplichtingen voor hoog-risicosystemen wordt uitgesteld, zonder dat duidelijk is wanneer deze alsnog van kracht worden. Hierdoor ontstaat een situatie waarin burgers minder mogelijkheden hebben om zich te beschermen tegen schade door AI-systemen.
De zorgen die tijdens de gelekte plannen naar voren kwamen — vooral dat risicovolle algoritmes minder streng worden gecontroleerd — blijken hiermee bevestigd.
Burgerrechtenorganisaties, waaronder EDRi, waarschuwen dat de voorstellen vooral in het voordeel zijn van grote technologiebedrijven en bepaalde lidstaten die inzetten op industriële belangen. De Commissie maakt gebruik van versnelde wetgevende routes, waardoor er weinig ruimte is voor democratische controle of uitgebreide consultatie. Juristen wezen er vorige week al op dat Omnibus I, dat eerder door het Europees Parlement werd goedgekeurd, mogelijk in strijd is met EU-recht omdat het duurzaamheidsverplichtingen verzwakt.
Het NJCM benadrukt dat fundamentele beginselen worden uitgehold wanneer gevoelige persoonsgegevens minder beschermd worden. De organisatie wijst erop dat kenmerken die door AI kunnen worden afgeleid — zoals politieke overtuiging of etniciteit — juist extra bescherming vereisen. Ook de mogelijkheid om AI-training te baseren op een “gerechtvaardigd belang” vindt het NJCM een gevaarlijke koerswijziging, zeker nu AI-systemen steeds meer invloed hebben op autonomie en zelfbeschikking.
Maatschappelijke organisaties roepen het Europees Parlement en de lidstaten op om deze verzwakking van privacy-, AI- en milieubescherming tegen te houden. Volgens deze organisaties heeft de EU niet minder regels nodig, maar meer inzet op handhaving en consistent beleid. De Digital Fitness Check, die parallel aan de Omnibus is gelanceerd, kan bovendien grote gevolgen hebben voor alle EU-wetten met een digitale component. EDRi stelt dat het “open seizoen” is op digitale rechten en waarschuwt voor een punt van geen terugkeer.
De huidige koers van deregulering lijkt door te werken in toekomstige wetgeving. De geplande Digital Fairness Act van 2026 moet consumentenrechten en toezicht op digitale platforms moderniseren, maar het is onzeker of dit zal leiden tot versterking of verdere uitholling van bescherming. EDRi en andere organisaties pleiten daarom voor een sterk op mensenrechten gebaseerde digitale rechtsstaat, met robuuste handhaving en duidelijke democratische controle. Zij benadrukken dat innovatie niet mag worden gebruikt als argument om de basisbescherming van burgers te verzwakken.
