De Europese Commissie bereidt een omvangrijk pakket wetgevende hervormingen voor dat de fundamenten van de Europese privacybescherming op losse schroeven kan zetten. Onder het mom van “administratieve vereenvoudiging” wil Brussel via een zogenoemde Digital Omnibus de bestaande regels — waaronder de AVG (GDPR), de AI Act, de ePrivacy-richtlijn en de Data Act — stroomlijnen. Volgens gelekte documenten, ingezien door Politico en Reuters, gaan de plannen echter veel verder dan technische aanpassingen: ze zouden grote uitzonderingen creëren voor bedrijven die kunstmatige intelligentie ontwikkelen.
Concreet zouden techgiganten als Google, Meta en OpenAI straks op basis van een “gerechtvaardigd belang” de persoonsgegevens van Europeanen mogen gebruiken om AI-modellen te trainen — zelfs als het gaat om bijzondere categorieën gegevens, zoals politieke overtuiging, religie of gezondheid. Ook overweegt de Commissie om pseudonieme data (waarbij identificerende details zijn verhuld) niet langer altijd als persoonlijke data te beschouwen, en om de strenge cookie-regels uit de ePrivacy-richtlijn onder te brengen in de AVG (GDPR). Dat zou het voor websites eenvoudiger maken om gebruikers te volgen zonder expliciete toestemming.
Privacy-activisten spreken van een regelrechte aanval op het Europese dataprotectiestelsel. De Oostenrijkse organisatie noyb, geleid door privacyjurist Max Schrems, waarschuwt voor “een massieve achteruitgang van Europese privacyrechten, tien jaar na de invoering van de GDPR.” Ook European Digital Rights (EDRi) bekritiseert het plan fel: het zou de bescherming van wat er op iemands telefoon of computer gebeurt “fundamenteel uithollen”.
De Europese hervormingsplannen grijpen diep in op het fundament van het Nederlandse privacy- en databeleid. Ze raken direct aan kernwetten als de AVG (GDPR), de AI Act, de ePrivacy-richtlijn en de Data Act, die samen het juridische kader vormen waarbinnen Nederlandse bedrijven, instellingen en overheden met persoonsgegevens omgaan. Door deze hervormingen moeten organisaties hun manier van gegevensverwerking grondig herzien — niet alleen juridisch, bijvoorbeeld rond het gebruik van “gerechtvaardigd belang” als grondslag, maar ook technisch, met strengere eisen aan transparantie en beveiliging.
Opvallend is de samenvoeging van cookie-regels en de aanpassing van definities van persoonsgegevens, die vooral gevolgen hebben voor sectoren als zorg, onderwijs en digitale overheid. In deze domeinen zal de Autoriteit Persoonsgegevens (AP) waarschijnlijk intensiever toezicht gaan houden. Tegelijkertijd introduceert de Data Act nieuwe verplichtingen rond data-uitwisseling en governance, wat zowel bedrijven als overheden dwingt tot aanvullende compliance-maatregelen.
In de praktijk zorgen deze ontwikkelingen ervoor dat Nederlandse privacyregels, toezicht en gebruikersrechten steeds nauwer verweven raken met Europese besluitvorming. Het nationale speelveld wordt meer dan ooit beïnvloed door Brusselse keuzes en harmonisatie. De verruiming van het “gerechtvaardigd belang” en de herclassificatie van persoonsgegevens bieden bedrijven en internationale platforms bovendien meer ruimte om data te benutten voor AI-toepassingen. Dat kan leiden tot veranderingen in toezicht en beleid, vooral in sectoren waar vertrouwelijkheid en dataminimalisatie van groot belang zijn.
Voor burgers betekent dit een verschuiving in de dagelijkse omgang met hun data: nieuwe vormen van datagebruik worden gangbaarder, terwijl transparantie en expliciete toestemming niet altijd meer vanzelfsprekend zijn. Daarmee markeren de Europese hervormingsplannen een belangrijk kantelpunt in de Nederlandse benadering van privacy — één die het debat over digitale rechten, innovatie en toezicht opnieuw op scherp zet.
Volgens Politico is het voorstel bedoeld om de Europese economie concurrerender te maken tegenover de VS en China. Critici zien het echter als een paniekreactie op de Europese achterstand in de AI-wedloop. Voormalig premier van Italië, Mario Draghi wees eerder in zijn rapport over het Europees concurrentievermogen de AVG (GDPR) al aan als rem op innovatie. Sommige lidstaten, waaronder Duitsland, zouden openstaan voor versoepeling om de industrie te helpen, terwijl landen als Oostenrijk, Slovenië, Frankrijk en Estland fel tegen zijn.
Voormalig Europarlementariër Jan Philipp Albrecht, een van de architecten van de AVG (GDPR), waarschuwt dat de Commissie “de Europese normen dramatisch ondermijnt”. Privacyorganisaties hekelen bovendien het gebrek aan transparantie: er is geen effectbeoordeling uitgevoerd, en de openbare consultatie werd in recordtempo afgerond.
De Digital Omnibus wordt officieel gepresenteerd op 19 november. Daarna moeten het Europees Parlement en de lidstaten zich erover buigen — een proces dat volgens insiders zal uitmonden in een “politieke en lobby-storm van historische proporties.”
