De Digital Omnibus is bedoeld om het versnipperde Europese digitale regelboek op te schonen. In één pakket worden aanpassingen gedaan in onder meer de GDPR, de e-Privacyregels, de Data Act en de AI Act. Toen er een conceptversie uitlekte, sloegen organisaties als noyb, EDRi en ICCL alarm. Zij waarschuwden voor een sluipende afbraak van gegevensbescherming onder het mom van vereenvoudiging.
Op 19 november heeft de Europese Commissie de officiële voorstellen voor de Digital Omnibus gepubliceerd. Dat maakt één vraag interessant, zeker voor juristen, DPO's en AI-governance teams: in hoeverre klopte de leak, en waar heeft de Commissie het plan bijgesteld?
In deze blog loop ik langs de belangrijkste punten: wat de Digital Omnibus is, wat er in de gelekte versie stond, wat nu echt in de officiële tekst staat en wat dat betekent voor organisaties die al volop werken met GDPR, Data Act en AI Act.
Wat is de Digital Omnibus eigenlijk?
De Digital Omnibus is geen volledig nieuwe verordening, maar een pakket wijzigingen op bestaande wetten. Het gaat vooral om:
- de GDPR, voor alles rond persoonsgegevens en grondrechten
- de e-Privacyregels, voor communicatiegeheim en cookies
- de Data Act en Data Governance Act, voor datadeling en toegang tot data
- de AI Act, voor risicogebaseerde regulering van AI-systemen
- en koppelingen met cybersecuritykaders zoals NIS2 en DORA
De officiële lijn van de Commissie is helder: de digitale wetgeving is in korte tijd sterk gegroeid, met overlap en frictie. De Digital Omnibus moet definities harmoniseren, administratieve lasten verminderen en incidentprocessen beter op elkaar laten aansluiten.
Die belofte klinkt logisch. Tegelijk ontstaat er spanning zodra vereenvoudiging leidt tot nieuwe uitzonderingen, ruimere grondslagen of langere overgangstermijnen. De gelekte tekst liet precies dat beeld zien.
Wat stond er in de gelekte Digital Omnibus?
De leak gaf een vrij compleet beeld van de richting waarin de Commissie dacht. De belangrijkste elementen:
1. GDPR meer "relatief" en vriendelijker voor AI
In de gelekte versie werd de definitie van "persoonsgegevens" duidelijk relativerend uitgelegd: niet langer vooral de vraag of iemand in absolute zin identificeerbaar is, maar of een specifieke partij een persoon kan identificeren. Dat schuift de grens op in de richting van wat bedrijven in de praktijk vaak al beweren: dat datasets "voor ons" geen persoonsgegevens zouden zijn.
Daarnaast zaten er passages in die expliciet ruimte maakten om persoonsgegevens voor AI-training te gebruiken op basis van gerechtvaardigd belang. In combinatie met een ruimer begrip van geautomatiseerde besluitvorming en minder strenge informatieplichten, leek dat een aanzienlijke verschuiving ten gunste van ontwikkelaars.
Het meest gevoelig waren voorstellen om de categorie bijzondere persoonsgegevens te versmallen. Alleen gegevens die direct een gevoelig kenmerk tonen zouden daar nog onder vallen. Informatie waaruit gevoelige kenmerken worden afgeleid, zoals patronen uit zoekgedrag of locatiedata, viel volgens de leak buiten die speciale bescherming.
2. Data Act, DGA en incidenten: samenvoegen en versimpelen
Ook op het gebied van datadeling en incidenten gaf de leak een duidelijk beeld. De Data Governance Act zou grotendeels worden geïntegreerd in de Data Act, met een beperktere rol voor overheidstoegang tot bedrijfsdata. Incidentrapportage voor GDPR, NIS2, DORA en aanverwante kaders zou meer richting één centraal meldpunt worden getrokken, met langere termijnen en een scherpere focus op serieuze incidenten.
3. AI Act: latere handhaving en uitzonderingen voor high-risk systemen
Ten slotte liet de gelekte tekst zien dat de Commissie serieus nadacht over het uitstellen van onderdelen van de AI Act. De nadruk lag op:
- een latere ingangsdatum voor de strengste verplichtingen voor high-risk AI
- uitzonderingen voor systemen die alleen "narrow" of puur procedurele taken uitvoeren
- extra tijd voor verplichtingen rond labeling en watermarking
Burgerrechtenorganisaties vatte dit samen als een pakket dat vooral comfort biedt aan grote spelers en ontwikkelaars, terwijl de bescherming voor burgers wordt doorgeschoven.
Wat staat er nu in de officiële Digital Omnibus?
De publicatie van 19 november laat zien dat de leak de grote lijnen goed weergaf. Tegelijk zijn een paar scherpe randjes afgeslepen onder druk van de kritiek.
GDPR in de Digital Omnibus: bevestiging van de richting
In de officiële stukken blijft de beweging naar een meer relatieve benadering van persoonsgegevens zichtbaar. Identificeerbaarheid wordt nadrukkelijk in context geplaatst. Voor organisaties die al langer redeneren in termen van "pseudonieme data" en "praktische identificeerbaarheid" voelt dit als een juridische verankering van de praktijk.
Ook op het gebied van AI en GDPR wordt de richting bevestigd. De Digital Omnibus introduceert een expliciet spoor om persoonsgegevens te gebruiken voor:
- het ontwikkelen en trainen van AI-modellen
- het testen op bias en kwaliteit
- het verbeteren van bestaande modellen
Daarbij wordt gerechtvaardigd belang aangewezen als grondslag, met aanvullende voorwaarden en een expliciet recht van bezwaar voor betrokkenen. De leak had dus gelijk dat hier een nieuwe route wordt geopend om AI-training juridisch te onderbouwen.
Daarnaast worden de regels rond DSAR's, datalekmeldingen en cookies herijkt. Het officiële voorstel behoudt de kern uit de gelekte tekst:
- meer ruimte om verzoeken te weigeren of tegen betaling af te handelen bij duidelijk misbruik
- een langere termijn en meer gecentraliseerde aanpak voor datalekmeldingen, gericht op incidenten met echt risico
- uitzonderingen voor bepaalde meet- en beveiligingscookies, met als doel om nutteloze cookiebanners te verminderen
Voor veel organisaties zal dit herkenbaar en aantrekkelijk klinken, zeker voor grote platforms en aanbieders van digitale diensten.
Data Act, DGA en incidentmanagement
De Digital Omnibus verwerkt de Data Governance Act daadwerkelijk in een geactualiseerde Data Act. De ruimte voor datavorderingen door overheden wordt nauwer gedefinieerd, met nadruk op ernstige situaties en noodtoestanden. Ook dat ligt in lijn met de lek.
Op incidentmanagementgebied zie je dat de Commissie sterk inzet op een meer uniforme meldstructuur over verschillende kaders heen. Voor organisaties die nu voor elk regime een ander proces hebben, kan dat op termijn werk schelen. De keerzijde is dat de drempel voor melding hoger komt te liggen, zodat sommige gebeurtenissen buiten beeld blijven.
AI Act: vertraging en verlichting uitgewerkt
De Digital Omnibus on AI Regulation, het zusterpakket dat zich richt op aanpassingen van de AI Act, bevestigt de hoofdlijn uit de leak. De sterke verplichtingen voor high-risk systemen worden gekoppeld aan de beschikbaarheid van geharmoniseerde normen en hulpmiddelen, waardoor de praktische ingangsdatum naar 2027 of 2028 opschuift.
Daarnaast wordt de vrijstelling van registratie in de EU-database voor bepaalde high-risk systemen uitgewerkt. Systemen die alleen ondersteunende of procedurele taken uitvoeren, hoeven onder voorwaarden niet in de centrale database. De kern van dit idee stond al in de gelekte tekst en is nu in meer detail verankerd.
Waar heeft de Commissie na de leak echt bijgestuurd?
De kritiek van noyb, EDRi, ICCL en andere partijen heeft niet alles tegengehouden, maar wel een paar wezenlijke aanpassingen afgedwongen.
1. Bijzondere persoonsgegevens blijven breed beschermd
Het voorstel om de reikwijdte van bijzondere categorieën gegevens te beperken tot direct gevoelige informatie is in de officiële tekst verdwenen. Dat is een duidelijke stap terug ten opzichte van de leak.
In plaats daarvan blijft de huidige brede aanpak uit de GDPR het uitgangspunt. Inferenties en profielen die iets zeggen over gezondheid, politieke voorkeur, religie of seksuele oriëntatie blijven onder de strengere regels vallen. De Commissie kiest er dus voor om hier niet de fundering van artikel 9 open te breken, maar om een gerichte uitzondering voor AI te creëren onder strikte voorwaarden.
2. AI-training op basis van gerechtvaardigd belang met extra remmen
Waar de leak nog de indruk wekte van een haast onbeperkte ruimte, is de officiële tekst iets voorzichtiger geformuleerd. Er komt wel degelijk een route om AI-training onder gerechtvaardigd belang te brengen, maar:
- er wordt expliciet vastgelegd dat betrokkenen een effectief recht van bezwaar houden
- andere wetgeving kan blijven eisen dat er toestemming nodig is
- organisaties moeten de noodzaak en proportionaliteit stevig onderbouwen
Dat zal de discussie niet beëindigen, maar het maakt het beeld genuanceerder dan de eerste commentaren op de leak suggereerden.
3. AI Act: geen vaag "stop the clock", maar concrete verschuiving
In plaats van een open einde, zoals nog in de notities uit de leak stond, bevat de officiële Digital Omnibus on AI Regulation concrete data en koppelingen aan standards en guidance. Voor de praktijk is het effect vergelijkbaar, alleen juridisch netter uitgewerkt.
De boodschap blijft dat aanbieders van high-risk AI meer tijd krijgen, en dat bepaalde categorieën systemen onder lichtere verplichtingen vallen als zij vooral ondersteunende taken vervullen.
Wat betekent dit voor organisaties die investeren in AI-governance?
Voor wie serieus met AI-governance en gegevensbescherming bezig is, geeft de Digital Omnibus een dubbel signaal.
Enerzijds wordt een deel van de complexiteit aangepakt. Datalekmeldingen, incidentprocessen en definities schuiven dichter tegen elkaar aan. De koppeling tussen GDPR en AI Act wordt helderder, vooral rond AI-training en risicobeoordeling.
Anderzijds wordt het speelveld dynamischer. De lat op het gebied van AI-training en high-risk AI lijkt voor sommige partijen lager te worden gelegd, terwijl organisaties die al vroeg hebben geïnvesteerd in strikte interpretaties zich afvragen of zij concurrentieel nadeel oplopen.
Voor juristen en DPO's komt het aan op een paar strategische keuzes:
- Kies je voor het minimale wettelijke kader dat in de Digital Omnibus wordt geboden, of leg je intern een hoger niveau vast voor AI-training, profiling en gebruik van gevoelige gegevens?
- Hoe ga je om met het spanningsveld tussen langere overgangstermijnen in de AI Act en de verwachting van klanten en toezichthouders dat systemen nu al verantwoord en uitlegbaar zijn?
- Welke rol krijgt de ethische kant van AI-gebruik in jouw organisatie, los van wat strikt rechtens is toegestaan?
Drie concrete stappen voor de komende maanden
Om af te sluiten, drie stappen die je als jurist, DPO of AI-governance lead nu al kunt voorbereiden op basis van de Digital Omnibus:
1. Maak een overzicht van alle AI-training use cases in je organisatie
Breng in kaart welke datasets worden gebruikt, welke grondslagen nu worden ingeroepen en hoe gevoelig de gegevens zijn. Gebruik dat overzicht om te bepalen of je de nieuwe AI-route onder gerechtvaardigd belang wel of niet wilt inzetten.
2. Herzie je incident- en meldproces met de Digital Omnibus in het achterhoofd
Kijk naar de samenloop tussen datalekken, AI-incidenten en cybersecuritymeldingen. Een geïntegreerde aanpak helpt later als de centrale rapportagestructuur verder vorm krijgt.
3. Gebruik de discussie rond de leak als gesprekstarter in de boardroom
De spanning tussen bescherming van grondrechten en ruimte voor AI-innovatie is met de Digital Omnibus niet verdwenen, maar verplaatst. Laat zien dat je de officiële tekst kent, maar leg ook uit welke keuzes je zelf verstandig vindt, juist op punten waar de wet nu meer ruimte biedt.
De kern is dat de leak geen spookbeeld bleek. De Digital Omnibus bevestigt grote delen van de richting die toen zichtbaar werd, met één duidelijke grens die Brussel niet durfde over te steken: het uithollen van de bescherming van bijzondere persoonsgegevens. Voor alles daaromheen ligt het initiatief nu bij organisaties zelf om te bepalen welke standaard zij willen hanteren in een tijd waarin data, AI en vertrouwen steeds dichter bij elkaar liggen.