AI-modellen werken op basis van gegevens. Dit geldt zowel voor de uiterst omvangrijke, veelal generatief inzetbare foundation models (zoals gebruikt voor ChatGPT), als kleinere specialistische (sectorspecifieke) modellen die voor een bepaald doel worden ontworpen. Niet zelden bevatten die gegevens informatie over personen, en vallen zij daarmee onder het regime van de Algemene verordening gegevensbescherming (AVG) vallen. Voor het trainen van foundation models worden bijvoorbeeld gigantische hoeveelheden gegevens van het (publieke) internet ‘gescrapet’, veelal persoonsgegevens. En tech-partijen Meta en LinkedIn kondigden eerder dit jaar aan voor de ontwikkeling en training van hun eigen (foundation) modellen gebruik te zullen gaan maken van de persoonsgegevens van de gebruikers van hun social media platforms. In het oog springt dat deze verwerking niet plaatsvindt op basis van toestemming van de gebruikers. De wettelijke basis die wordt ingeroepen is het ‘gerechtvaardigd belang’ uit de AVG.
Ondanks dat het gezaghebbende Europees Comité voor Gegevensbescherming (afgekort in het Engels tot de “EDPB”) al in 2024 de basis legde [1] voor het inroepen van het gerechtvaardigd belang als mogelijke wettelijke grondslag voor de verwerking van persoonsgegevens om AI-modellen te trainen, bleken verschillende gegevensbeschermingstoezichthouders in de Europese Unie minder eensgezind op dit punt. Zo waarschuwde [2] de Autoriteit Persoonsgegevens gebruikers publiekelijk om het recht van bezwaar in te roepen tegen de door Meta en LinkedIn voorgestelde verwerking van hun gegevens voor AI-training. En de Hamburgse toezichthouder (Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, “HmbBfDI”) besloot, na deze activiteit aanvankelijk als onrechtmatig te hebben bestempeld, de verordonneerde handhavingsprocedure tegen één van deze big tech-partijen uiteindelijk toch niet door te zetten. Dit mede in afwachting van een eenduidig EU-kader op dit punt. Met het recente wetsvoorstel van de Europese Commissie tot wijziging van de AVG, voortvloeiend uit het Digital Omnibus Package, lijkt een serieuze stap richting dit eenduidige EU-kader te zijn gezet.
Op 19 november 2025 heeft de Europese Commissie het Digital Omnibus Package bekendgemaakt, met als doel om de toepassing van het digitale regelgevingskader in de EU te optimaliseren.[3] Het voorstel is opgesteld om de naleving van deze regelgeving kostenefficiënter te maken, en daarmee concurrentievoordelen (onder andere op het gebied van AI-oplossingen) te bewerkstelligen. Uitgangspunt is dat de mate van bescherming van (EU-)burgers en de beoogde doelstellingen van elk van deze digitale wetten niet worden aangetast. Het voorstel is hoofdzakelijk gericht op EU-organisaties die gebonden zijn aan deze kluwen van digitale EU-regelgeving, maar ook de big tech-spelersdie onder het wettelijk EU-regime vallen kunnen van deze voordelen meegenieten. Concreet heeft de Europese Commissie om haar doel te bereiken een wetsvoorstel gedaan, waarin een reeks wijzigingen van de digitale EU-wetgeving wordt doorgevoerd, waaronder de AVG.
Op basis van de huidige versie van de AVG wordt een persoonsgegeven gedefinieerd als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Of bepaalde informatie tot identificatie van een persoon kan leiden, is afhankelijk van de middelen die de betreffende partij, of een ander persoon, tot diens beschikking heeft. Deze middelen mogen dan niet in strijd met de wet zijn of onevenredige inspanning kosten. Deze uitleg van het begrip wordt ook wel de ‘absolute’ leer genoemd.
In de Digital Omnibus slaat de Europese Commissie een andere weg in. In lijn met recente jurisprudentie van het Hof van Justitie van de Europese Unie [4] wordt voor een contextafhankelijke leer gekozen: de Europese Commissie verduidelijkt dat informatie niet automatisch als een persoonsgegeven hoeft te worden beschouwd door elke partij, enkel omdat een ander in staat is de betreffende persoon te identificeren. In het kader van AI-training betekent dit dat een partij die voor dit doel datasets met pseudonieme persoonsgegevens ontvangt, en niet over aanvullende informatie over deze personen beschikt, niet onder de AVG valt omdat deze datasets niet als persoonsgegevens aan te merken zijn. De vraag of een wettelijke grondslag voor deze verwerking bestaat, en in hoeverre dat het gerechtvaardigd belang kan zijn, is dan niet langer relevant.
De Europese Commissie gaat echter nog een stap verder in de Digital Omnibus: een nieuw artikel wordt in de AVG opgenomen waarin buiten twijfel wordt gesteld dat de verwerking van persoonsgegevens voor training en gebruik van AI-modellen en AI-systemen gebaseerd kan worden op het gerechtvaardigd belang. De verwerkingsverantwoordelijke moet dan wel aan alle voorwaarden voor het inroepen van deze grondslag voldoen.[5] Dat betekent specifiek dat een belangenafweging moet worden uitgevoerd om te bepalen of het belang van de verwerkingsverantwoordelijke om respectievelijk diens AI-model te trainen of AI-systeem te gebruiken met persoonsgegevens zwaarder weegt dan de belangen van de betrokken personen.
Daarnaast moeten strikte beveiligingsvoorwaarden in acht worden genomen, zoals het toepassen van gegevensminimalisatie bij het selecteren van de bronnen waaruit de gegevens worden verzameld, maar ook tijdens het trainen en testen van het AI-systeem of -model, en het hanteren van een absoluut, onvoorwaardelijk recht van de betrokken persoon om bezwaar te maken tegen de verwerking van diens persoonsgegevens in het kader van AI.
Dat de Europese Commissie de kritiek van de Hamburgse toezichthouder ook (deels) in ogenschouw heeft genomen, blijkt uit het feit dat zij benadrukt dat bovenstaande situatie niet opgaat als uit het Unie- of lidstatelijk recht volgt dat de persoonsgegevens enkel voor AI verwerkt mogen worden op basis van toestemming. Oftewel, op lidstatelijk niveau bestaat de ruimte voor de nationale wetgever om het gerechtvaardigd belang als basis voor de verwerking van persoonsgegevens voor AI aan banden te leggen.
Noemenswaardig is nog dat de Europese Commissie een nieuwe, weliswaar beperkte, uitzondering opneemt op het verwerkingsverbod dat geldt voor bijzondere persoonsgegevens (zoals over iemands gezondheid).[6] Specifiek in het kader van de ontwikkeling en het gebruik van een AI-systeem of AI-model wordt de verwerking van bijzondere persoonsgegevens onder voorwaarden toegestaan. Die voorwaarden houden in dat passende technische en organisatorische maatregelen worden genomen om het verzamelen van bijzondere persoonsgegevens te voorkomen. Als desondanks toch bijzondere persoonsgegevens worden ontdekt in de datasets die worden gebruikt voor training, tests of validatie van het AI-systeem of -model, en het verwijderen daarvan onevenredige inspanning kost, dan is de verwerking daarvan toegestaan. Het is dan niet nodig om hiervoor toestemming te verkrijgen. Voorwaarde is dat de bijzondere gegevens niet mogen worden gebruikt voor het creëren van output en zij mogen ook niet anderszins openbaar worden gemaakt.
Het Digital Omnibus-voorstel verschaft duidelijkheid op het punt van de verwerking van persoonsgegevens in een AI-context. Het trainen van AI-modellen kan onder voorwaarden gebaseerd worden op het gerechtvaardigd belang uit de AVG. Het verkrijgen van toestemming, hetgeen niet altijd praktisch wenselijk of haalbaar is, kan hiermee achterwege worden gelaten. Hetzelfde geldt voor de ‘resterende’ bijzondere persoonsgegevens die in gebruikte datasets blijken te zijn geslopen.
Een direct nadeel van deze werkwijze is dat personen wiens persoonsgegevens in een AI-dataset terechtkomen door middel van scraping hiervan doorgaans niet op de hoogte zullen zijn. Organisaties moeten hierover wel informatie verschaffen, bijvoorbeeld via de privacyverklaring op hun website, maar de kans dat iemand zelfstandig c.q. pro-actief tot raadpleging hiervan overgaat zal beperkt zijn. Het sterke recht van bezwaar dat via het Digital Omnibus-voorstel wordt toegekend aan het individu om deze verwerking te stoppen bestaat dan enkel op papier.
Tot slot is het de vraag of, en zo ja, in hoeverre het wetsvoorstel van de Europese Commissie ongeschonden in stand blijft. Het Europees Parlement en de Raad beraden zich nu over de inhoud hiervan. Desondanks laat het huidige voorstel een belangrijke verschuiving in de aanpak van de Europese Commissie op het gebied van digitale regulering zien, die alle organisaties die met training en gebruik van AI met persoonsgegevens te maken hebben zal raken.
Dit artikel is geschreven voor deLex.
[1] Richtsnoeren 1/2024 betreffende de verwerking van persoonsgegevens op basis van gerechtvaardigd belang. Hoewel de publieke consultatie van deze op 8 oktober 2024 vastgestelde richtsnoeren gesloten is, is de definitieve versie nog niet door de EDPB gepubliceerd. De inhoud hiervan kan dus eventueel nog aan wijziging onderhevig zijn (https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_nl); Advies 28/2024 over bepaalde aspecten van gegevensbescherming in verband met de verwerking van persoonsgegevens in het kader van AI-modellen, vastgesteld op 17 december 2024 (https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_nl).
[2] https://www.autoriteitpersoonsgegevens.nl/actueel/ap-kom-nu-in-actie-als-je-niet-wil-dat-meta-ai-traint-met-jouw-data; https://www.autoriteitpersoonsgegevens.nl/actueel/ap-bezorgd-over-ai-training-linkedin-en-roept-gebruikers-op-om-instellingen-aan-te-passen.
[3] https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal.
[4] HvJ-EU 4 september 2025, zaak C-413/23 P, ECLI:EU:C:2025:645 (EDPS t. SRB).
[5] Nieuw artikel 88c AVG.
[6] Nieuw artikel 9 lid 2 (k) en 9 lid 5 AVG.
