Een update van de ontwikkelingen op het gebied van regulering van persoonsgegevens en AI naar aanleiding van de position paper “Omnibus Digitaal en Omnibus AI” van de Autoriteit Persoonsgegevens en het fiche “Omnibus AI en Omnibus Digitaal” van de werkgroep Beoordeling Nieuwe Commissievoorstellen geleid door Buitenlandse Zaken.
De Europese Commissie heeft met het Digital Omnibus-voorstel van 19 november 2025 een serieuze stap gezet richting harmonisatie en vereenvoudiging van digitale EU-wetgeving. In ons eerdere artikel signaleerden wij al dat hierdoor voor het eerst expliciet is gemaakt dat de verwerking van persoonsgegevens voor het trainen en gebruiken van AI-modellen en -systemen – onder voorwaarden – mogelijk is op basis van het gerechtvaardigd belang. Ook wordt een nieuwe, weliswaar beperkte, uitzondering geïntroduceerd voor het zonder toestemming verwerken van bijzondere persoonsgegevens bij het trainen van AI, en wordt de definitie van “persoonsgegevens” herijkt, wat in potentie grote gevolgen kan hebben voor het (toegestane) gebruik van pseudonieme gegevens in een AI-context.
Ondertussen hebben zowel de Autoriteit Persoonsgegevens (“AP”) i als het kabinet ii hun visies op het Digital Omnibus-voorstel gepubliceerd. Waar de Europese Commissie zich duidelijk richt op vereenvoudiging en “optimalisatie van het digitale regelgevingskader”, laten deze reacties zien dat de beoogde versoepelingen ook nieuwe risico’s en onzekerheden met zich meebrengen. In dit blog belichten we de eerder besproken wijzigingen en de relevante kanttekeningen van de AP en het kabinet.
Eén van de meest impactvolle veranderingen van het voorstel is de manier waarop de Europese Commissie de definitie van persoonsgegevens minder ruim wil interpreteren. Waar de AVG, en ook nationale toezichthouders en EU-adviesorganen, traditioneel een meer brede, absolute benadering hanteert voor uitleg van dit begrip, kiest de Europese Commissie nu voor een meer overzichtelijke, contextafhankelijke leer. Gepseudonimiseerde gegevens zullen voor de ontvanger daarvan, zolang die zelf geen aanvullende informatie heeft om vast te stellen om welke personen het gaat, niet langer aan te merken zijn als persoonsgegevens.
Op papier lijkt dit een logische verduidelijking, zeker in een wereld waarin (gepseudonimiseerde) datasets vaak door vele partijen, voor verschillende doeleinden, worden verwerkt. In de praktijk zal deze verschuiving naar verwachting echter een grote impact hebben op de vraag wanneer de AVG nog geldt (en voor wie). En dat is nu precies waar zowel de AP als het kabinet kritiek op uiten.
De AP stelt dat de voorgestelde aanpassing, hoe technisch deze ook lijkt, de kern raakt van het grondrecht op gegevensbescherming. Als onduidelijk wordt welke gegevens, in welk stadium van de verwerking, beschermd moeten worden en welke niet, verzwakt dat naar mening van de AP niet alleen het toezicht, maar wordt het voor burgers lastiger grip te houden op hun digitale identiteit. De AP benadrukt bovendien dat gegevens waarmee mensen kunnen worden geprofileerd of gevolgd, altijd als persoonsgegevens moet blijven gelden.
Het kabinet is evenmin gerust. Volgens de eerste analyses gaat het voorstel “verder dan een codificatie” van het veelbesproken SRB‑arrest van het Hof van Justitie iii van de Europese Unie, waarin de reikwijdte van het concept “persoonsgegevens” centraal stond, en waarnaar de Europese Commissie in het Digital Omnibus-voorstel specifiek verwijst. Door het wetsvoorstel zou de bescherming van persoonsgegevens materieel kunnen worden verlaagd, zonder dat dit naar mening van het kabinet overtuigend bijdraagt aan het verminderen van regeldruk. Juist dit laatste is voor het kabinet een doelstelling.
Het tweede in het oog springende onderwerp dat wij in ons vorige artikel uitlichtte, is de expliciete erkenning in het wetsvoorstel dat het gerechtvaardigd belang kan dienen als grondslag voor het trainen en gebruiken van AI‑modellen en -systemen met persoonsgegevens. Het Digital Omnibus-voorstel schrijft kort gezegd voor dat organisaties een belangenafweging moeten uitvoeren, gegevensverzameling moeten minimaliseren en strenge beveiligingswaarborgen moeten treffen. Ook komt er een absoluut recht van bezwaar te gelden, dat zonder voorwaarden moet kunnen worden uitgeoefend door de individuen wiens persoonsgegevens worden gebruikt.
Opvallend is dat de AP en het kabinet deze explicitering wezenlijk anders lijken te benaderen dan de Europese Commissie. Waar de Europese Commissie het voorstel positioneert als verheldering van de vraag wanneer een beroep kan worden gedaan op het gerechtvaardigd belang in een AI-context, vreest de AP juist dat dit “een verruiming suggereert die er niet is”.
Volgens de AP was het gerechtvaardigd belang namelijk nooit uitgesloten als verwerkingsgrond. De voorgestelde tekst was daardoor in essentie niet nodig, en kan juist meer verwarring creëren. De AP ziet bovendien het risico dat organisaties als gevolg hiervan het gerechtvaardigd belang als een generieke vrijstelling zouden interpreteren voor verwerkingen van persoonsgegevens in een AI-context, terwijl een zorgvuldige belangenafweging integraal onderdeel van deze grondslag zou moeten blijven.
Het kabinet gaat nog een stap verder en noemt het voorstel “een van de meest impactvolle wijzigingen” binnen de AVG‑aanpassingen in de Digital Omnibus. De zorgen richten zich vooral op de indruk dat het gerechtvaardigd belang per definitie zou gelden voor AI‑training en - exploitatie, zonder dat een volledige noodzakelijkheidstoets en belangenafweging nog zouden moeten plaatsvinden. Verder benadrukt het kabinet het belang van goede randvoorwaarden voor de verwerking van bijzondere persoonsgegevens, gelet op de ernstige gevolgen die dit kan hebben voor de betrokken individuen.
Kortom, het spanningsveld is duidelijk. De Europese Commissie wil ruimte bieden aan
innovatie, maar zowel de AP als het kabinet uiten hun zorgen over de voorgestelde wijzigingen.
In ons eerdere artikel bespraken we al dat grootschalige AI‑training spanningen introduceert rondom transparantie en de uitoefenbaarheid van rechten. Bij grote datasets, vaak afkomstig van scraping, weten betrokkenen meestal niet dat hun gegevens worden gebruikt. Het recht van bezwaar bestaat dan vooral theoretisch.
De AP benadrukt in haar position paper dat diverse elementen van het Digital Omnibus‑voorstel juist kunnen leiden tot minder transparantie en minder effectieve verantwoording. Voorbeelden zijn het verhogen van drempels voor datalekmeldingen en het schrappen van registraties voor bepaalde AI‑systemen. Zowel toezicht als publieke controle zouden hierdoor onder druk komen te staan.
Het kabinet wijst daarnaast op de bredere gevolgen van de verschuiving van uitvoerings- en normstellende bevoegdheden naar de Europese Commissie. Zo kan de Europese Commissie volgens het voorstel bepalen wanneer een datalek als “hoog risico” moet worden beschouwd, in welke gevallen een DPIA verplicht is, en zelfs welke informatie nog kwalificeert als persoonsgegevens bij pseudonimisering. Daarmee verschuiven verantwoordelijkheden die normaliter belegd zijn bij onafhankelijke toezichthouders en het Europees Comité voor Gegevensbescherming naar een politieke instelling.
Het kabinet noemt meer politieke besluitvorming een expliciet risico omdat de AVG een uitwerking van een grondrecht is. Wijzigingen die raken aan grondrechten moeten zorgvuldig worden geanalyseerd en besproken, stelt het kabinet. Het ontbreken van een impact assessment maakt het bovendien moeilijk om te beoordelen of de beoogde vereenvoudiging daadwerkelijk wordt bereikt.
De voorstellen in de Digital Omnibus zijn op dit moment nog niet in beton gegoten. Waar de Europese Commissie een stap richting vereenvoudiging wil zetten, waarschuwen zowel de AP als het kabinet dat de balans tussen innovatie en bescherming niet uit het oog mag worden verloren. De discussie die nu wordt gevoerd, is daarmee niet alleen technisch of juridisch, maar raakt aan fundamentele keuzes over de verhouding tussen data‑gedreven innovatie en grondrechten in de EU. De komende maanden zal blijken in hoeverre het Europees Parlement en de Raad de zorgen van nationale toezichthouders en lidstaten overnemen. Ondertussen houden wij de ontwikkelingen nauw in de gaten.
i Autoriteit Persoonsgegevens, Position paper AP: Omnibus Digitaal en Omnibus AI,
(geraadpleegd op 16 januari 2026) https://www.autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-omnibus-digitaal-enomnibus-ai.
ii Werkgroep Beoordeling Nieuwe Commissievoorstellen, Fiche 2: Omnibus AI en Omnibus
Digitaal, (geraadpleegd op 16 januari 2026) https://open.overheid.nl/documenten/be71c2d5-
7811-4d59-98a5-34c9ac4b8b86/file.
iii HvJ-EU 4 september 2025, zaak C-413/23 P, ECLI:EU:C:2025:645 (EDPS t. SRB)
