Het demissionaire kabinet zegt "serieuze zorgen" te hebben over het plan van de Europese Commissie om de AVG te verzwakken. Daarnaast zijn er ook bezwaren geuit tegen het plan om de registratieplicht voor bepaalde hoog-risico AI-systemen te schrappen. Dat laat het kabinet in een "fiche" over de Omnibus AI en Omnibus Digitaal van de Europese Commissie weten.

Wanneer Brussel een nieuw wetsvoorstel presenteert ontvangt de Tweede Kamer vaak een fiche, met een samenvatting over de inhoud van het voorstel en de mogelijke gevolgen hiervan voor Nederland. Onlangs presenteerde de Europese Commissie de Omnibus AI en Omnibus Digitaal, waarmee onder andere de AVG op verschillende onderdelen wordt verzwakt. Zo wil Brussel de definitie van persoonsgegevens wijzigen. Ook staat het voorstel de verwerking van bijzondere persoonsgegevens toe voor verificatiedoeleinden en voor de ontwikkeling en exploitatie van AI-modellen.

Verder stelt het voorstel geautomatiseerde besluitvorming toe en wordt de plicht tot het melden van datalekken uitdrukkelijker beperkt tot gevallen waarin het lek daadwerkelijk nadelige gevolgen voor personen kan hebben, en de termijn waarbinnen het lek gemeld moet worden gaat van 72 naar 96 uur. Ook wordt het Europees Comité voor Gegevensbescherming (EDPB), waarin de Europese AVG-toezichthouders verenigd zijn, verplicht lijsten op te stellen waarvoor geen data protection impact assessment (DPIA) is vereist.

Ten slotte wordt geregeld dat ‘gerechtvaardigd belang’ een grondslag is om AI-modellen te trainen. De regels over gegevensverwerking voor cookies uit de ePrivacy-richtlijn worden voor zover het persoonsgegevens betreft in aangepaste vorm ondergebracht onder de AVG. De kern daarvan blijft dat toestemming nodig is voor cookies en soortgelijke tracking. Hierop wordt een aantal uitzonderingen geïntroduceerd, bijvoorbeeld voor analytische of veiligheidsdoeleinden.

Serieuze zorgen

Het kabinet zegt voorstander te zijn van het vereenvoudigen en stroomlijnen van digitale wetgeving. Een deel van de voorstellen in de omnibussen gaan echter verder dan alleen het versimpelen, verduidelijken en stroomlijnen van wetgeving. "In het bijzonder bij een aantal fundamentele wijzigingen aan de AVG heeft het kabinet serieuze zorgen, omdat deze wijzigingen het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk", zo stelt het kabinet in het fiche.

Het kabinet merkt op dat door het ontbreken van een impact assessment het moeilijk is om de effecten van de voorstellen te beoordelen, vooral als het gaat om de geclaimde verlaagde regeldruk en de gevolgen voor de fundamentele rechten van mensen. Het kabinet zegt dat het Brussel om opheldering gaat vragen voordat het tot een oordeel over deze onderdelen komt. Tevens stelt het kabinet dat advies van de Europese privacytoezichthouder EDPS bij de bespreking van het voorstel moet worden betrokken.

Tevens stelt het kabinet dat het de Europese Commissie zal verzoeken om een uitgebreidere analyse van de impact van deze voorstellen te presenteren en de voorstellen te behandelen op een manier die recht doet aan de zorgpunten. "De impact op grondrechten moet niet worden onderschat en weegt voor het kabinet zwaar in haar oordeel over dit voorstel", aldus het fiche. Daarin staat ook dat het kabinet serieuze zorgen heeft over een aantal voorgestelde wijzigingen aan de AVG.

Naast de zorgen over de AVG-aanpassingen heeft het kabinet bezwaren tegen het schrappen van de registratieplicht voor hoog-risico AI-systemen die alleen voor beperkte of procedurele taken worden gebruikt. "Dit verlaagt de transparantie over het gebruik van AI-systemen in hoog risico context en bemoeilijkt het toezicht op deze systemen. Bovendien levert deze maatregel slechts een beperkte verlichting van regeldruk op", zo staat het in het fiche vermeld.

Cloudmarkt

Verder laat het kabinet in het fiche weten dat het zorgen heeft over de uitzonderingen in de Dataverordening op de bepalingen over het overstappen tussen clouddiensten. "Deze creëren juist onduidelijkheid voor gebruikers van clouddiensten en belemmeren hun keuzevrijheid. Met name de uitzondering voor maatwerk-diensten kan ertoe leiden dat de huidige situatie met vendor lock-in gehandhaafd blijft." Het kabinet wil dat Brussel op dit onderdeel geen aanpassingen doorvoert.

Het kabinet verwacht dat de meeste EU-lidstaten positief zijn over het plan van de Europese Commissie om wetgeving te versimpelen en regeldruk te verlagen. "Een deel van de lidstaten zal daarbij naar verwachting ook de kanttekening maken dat de doelen van de wetgeving en bescherming van fundamentele rechten overeind blijven. Ook zal een meerderheid van de lidstaten naar verwachting zorgen hebben over de oprichting van een Europees meldpunt."

Brussel wil dat er één meldpunt komt waar organisaties voor allerlei wetten melding kunnen maken. Het gaat dan bijvoorbeeld om de AVG, NIS2 en CRA. Zo zouden datalekken eerst bij dit meldpunt moeten worden gemeld voordat ze naar nationale privacytoezichthouders worden doorgezet. De bekende privacy-activist Max Schrems noemt de plannen van de Europese Commissie de grootste aanval op digitale rechten in de EU van de afgelopen jaren en een geschenk voor Amerikaanse Big Tech-bedrijven.