Organisaties die deelnemen aan de digitale economie worden geconfronteerd met een steeds complexer regelgevend kader. Naast de Algemene Verordening Gegevensbescherming (AVG) gelden inmiddels talloze aanvullende instrumenten, zoals de Digital Services Act, de Digital Markets Act en de AI Act, die elk hun eigen verplichtingen opleggen rond data en technologie.
Deze opeenstapeling van regelgeving zorgt in de praktijk voor onzekerheid en administratieve compliancekosten. Deze wildgroei aan regulering wordt gezien als één van de boosdoeners van het competitiviteitsprobleem waarmee de EU worstelt.
De “Digital Omnibus” is een ambitieus wetsvoorstel om het Europese digitale regelboek te vereenvoudigen. Uitsluitend technisch van aard en zonder aantasting van de onderliggende doelstellingen, aldus de Europese Commissie.
Hoewel de Digital Omnibus meerdere domeinen bestrijkt, veroorzaakt in het bijzonder het voorstel om aan de AVG te sleutelen een hevig debat. Wij lichten drie markante verschuivingen toe.
Een van de meest ingrijpende wijzigingen die wordt voorgesteld, betreft de definitie van “persoonsgegevens” zelf (art. 4.1 AVG).
Vandaag wordt dit begrip ruim geïnterpreteerd: gegevens worden als persoonsgegevens beschouwd zodra een persoon identificeerbaar is, ongeacht wie over de middelen beschikt om die identificatie effectief te maken. In de praktijk leidt dit tot een zeer brede toepassing van de AVG, ook in situaties waarin identificatie eerder theoretisch is.
De Digital Omnibus lijkt deze benadering te willen nuanceren. Voorgesteld wordt om de kwalificatie als persoonsgegeven afhankelijk te maken van de concrete mogelijkheden van de verwerkingsverantwoordelijke. Gegevens zouden enkel nog als persoonsgegevens gelden indien de betrokken partij redelijkerwijs in staat is om de betrokkene daadwerkelijk te identificeren. Dit impliceert een fundamentele verschuiving van een absoluut naar een relatief begrip, met oog voor context.
Een dergelijke verschuiving impliceert verregaande gevolgen voor het toepassingsgebied van de AVG. Gepseudonimiseerde gegevens zouden bijvoorbeeld niet langer “persoonsgegevens” uitmaken, wanneer re-identificatie wettelijk verboden is of praktisch onmogelijk blijkt zonder disproportionele inspanningen.
Voor ondernemingen opent dit allerhande perspectieven – denk daarbij met name aan data-analyse en het trainen/inzetten van AI-systemen op basis van data waarvan het gebruik op heden verboden is.
NOYB en andere belangenorganisaties wijzen op de fundamentele risico’s van een dergelijke hervorming. De beoordeling van wat “redelijkerwijs mogelijk” is, hangt immers sterk af van de concrete omstandigheden, de beschikbare technologie en de middelen van de betrokken organisatie. Waar de huidige definitie rechtszekerheid biedt, dreigt een meer contextuele benadering tot het omgekeerde te leiden.
Een tweede verschuiving situeert zich in de verregaande digitalisering van de economie, waarbij data steeds meer als “primaire grondstof” worden beschouwd en AI-systemen intrede hebben gedaan in vrijwel alle sectoren.
De huidige AVG werd ontworpen in een andere tijdsgeest, waarin grootschalige dataverwerking en zelflerende AI-systemen nog geen centrale rol speelden. Dit leidt vandaag tot een reëel spanningsveld tussen het juridische kader en de technologische realiteit.
De Digital Omnibus lijkt deze spanning te willen verlichten door expliciet meer ruimte te creëren voor data-gebruik, met name in het kader van AI. Daarbij wordt niet enkel ingezet op vereenvoudiging, maar ook op het versterken van de Europese concurrentiepositie op het vlak van digitale innovatie.
Zo zouden verwerkingsverantwoordelijken zich in bepaalde gevallen kunnen baseren op een “gerechtvaardigd belang” als grondslag voor het verwerken van persoonsgegevens bij de ontwikkeling en exploitatie van AI-systemen. Dit betekent een duidelijke verschuiving ten opzichte van de huidige praktijk, waarin vaak wordt teruggevallen op toestemming of andere, meer restrictieve rechtsgronden.
Daarnaast wordt ook rekening gehouden met de technische realiteit van AI-systemen, waarbij gegevens – inclusief potentieel gevoelige gegevens – soms onbedoeld aanwezig blijven in datasets of modellen. Deze zogenaamde “residuele” aanwezigheid zou niet langer automatisch als een inbreuk worden beschouwd, zolang geen sprake is van een doelbewuste verwerking en passende bijkomende waarborgen worden genomen.
Deze evoluties wijzen op een bredere tendens waarbij het regelgevend kader niet langer uitsluitend gericht is op het beperken van gegevensverwerking, maar ook op het faciliteren van innovatie.
Voor ondernemingen biedt dit onmiskenbaar opportuniteiten. Data die vandaag moeilijk of niet bruikbaar zijn onder de AVG, zouden in de toekomst flexibeler kunnen worden ingezet voor het ontwikkelen en gebruik van AI-systemen. In die zin kan de hervorming bijdragen tot meer rechtszekerheid en lagere compliancekosten, wat voor (tech-) startups en scale-ups een belangrijke drempelverlaging kan betekenen.
De voorgestelde wijzigingen zijn niet onomstreden. Critici wijzen erop dat het toepassingsgebied van het “gerechtvaardigd belang” aanzienlijk wordt verruimd, en dat ook de exploitatie van AI-systemen hieronder zou kunnen vallen. Ook wordt de bescherming van gevoelige gegevens afgezwakt door het gedogen van “residuele” aanwezigheid in datasets.
De praktijk moet uitwijzen of deze voorgestelde wijzigingen effectief innovatie en competitiviteit kunnen stimuleren zonder afbreuk te doen aan de beschermende rol van de AVG.
Een derde belangrijke evolutie betreft de manier waarop compliance onder de AVG wordt benaderd.
De huidige verordening wordt vaak ervaren als formalistisch en administratief belastend, met een sterke nadruk op documentatie, procedures en meldingsverplichtingen. De Digital Omnibus lijkt deze aanpak te willen herdenken door meer in te zetten op een risicogebaseerde benadering.
Dit vertaalt zich onder meer in een aantal concrete versoepelingen:
Deze evoluties wijzen op een duidelijke beleidskeuze: minder nadruk op formele naleving, en meer op inhoudelijke risicobeoordeling en proportionaliteit.
Voor ondernemingen kan dit potentieel een verlichting van de administratieve last betekenen. Tegelijk impliceert deze evolutie dat organisaties zelf een grotere verantwoordelijkheid dragen in het beoordelen en documenteren van risico’s en in het afleggen van verantwoording.
De voorgestelde aanpassingen binnen de Digital Omnibus wijzen op een duidelijke koerswijziging voor de AVG, met een (verdere) verschuiving van verantwoordelijkheden naar organisaties die binnen het toepassingsgebied vallen.
Waar de nadruk oorspronkelijk lag op bescherming en beperking, lijkt het beoogde model meer aandacht te hebben voor economische efficiëntie en technologische innovatie.
De centrale uitdaging zal erin bestaan om deze evolutie te verzoenen met de oorspronkelijke doelstellingen: het waarborgen van een hoog niveau van bescherming van persoonsgegevens als fundamenteel grondrecht. Tot slot moet de praktijk uitwijzen of de uiteindelijke versoepelingen volstaan om de Europese innovatie- en competitiviteitskloof daadwerkelijk te dichten.