Op woensdag 19 november presenteert de Europese Commissie een herziening van de Europese digitale regelgeving. De ‘digitale omnibus’ is een pakket aan aanpassingen aan bestaande datawetten, veelal versoepelingen.
Ruimte bieden
Is de digitale omnibus bedoeld om de regeldruk te verminderen, overlappende wetten te harmoniëren en bureaucratie terug te dringen, zoals de Europese Commissie beweert? Of is het toch vooral bedoeld om meer ruimte te bieden voor AI-ontwikkelingen in Europa? Tegenstanders vrezen in ieder geval voor een verwatering van digitale grondrechten.
Het gaat over een maatregelenpakket op vier gebieden: de bescherming van data, regels voor het gebruik van data, de omgang met cybersecurityincidenten en de regulering van AI. De term ‘omnibus’ slaat op het feit dat het gaat om ‘alles’; volgens de Commissie een consolidatie van verschillende datawetten.
Nieuwe Data Act
De basis vormt de Data Act, die twee jaar geleden inging, sinds september echt van toepassing is en die nu dus alweer op de schop gaat. In de nieuwe Data Act worden drie andere wetten opgenomen: de Open Data Richtlijn, de Verordening inzake het Vrije Verkeer van Niet-Persoonsgegevens en de Data Governance Act. Volgens de Commissie gaat het om een ‘ambitieuze lijst van technische aanpassingen’ die uiteindelijk tot doel heeft om bedrijven, overheidsorganisaties en inwoners wat lucht te geven.
AVG op de schop
De Commissie is ook van plan om aanpassingen te doen aan de General Data Protection Regulation (GDPR, in Nederland beter bekend als de AVG). Volgens de Duitse website Netzpolitik.org wordt de Europese privacywet aanzienlijk afgezwakt, zodat er meer ruimte ontstaat om datagebruik mogelijk te maken. Zo wordt de definitie van gepseudonimiseerde gegevens versmald. Nog vérstrekkender is het gevolg van een andere maatregel: techbedrijven zouden AI-systemen in de toekomst mogen trainen met persoonsgegevens op basis van hun legitieme belang. Gebruikers hoeven daar dan niet eerst toestemming voor te geven.
Weg met cookiebanners
Daarnaast zou het niet meer nodig zijn om toestemming te vragen voor het opslaan en lezen niet-essentiële cookies op apparaten van gebruikers. De Commissie stelt dat we allemaal moe zijn van het wegklikken van cookiebanners en stelt voor dat browsers en besturingssystemen in plaats daarvan automatisch privacyvoorkeuren kunnen doorgeven aan websites.
Gevoelige data
De Commissie heeft de pijlen ook gericht op artikel 9 van de AVG, waarin de speciale bescherming van gevoelige data staat beschreven, zoals politieke voorkeur, religie of seksuele geaardheid. Expliciete data blijven volledig beschermd, maar afgeleide of vermoedelijke data niet. Dat betekent dat een gegevensverwerker, zoals een socialemediaplatform, de ruimte krijgt om bijvoorbeeld de vermoedelijke seksuele geaardheid van een persoon af te leiden op basis van vermeende interesses of kenmerken.
Onder artikel 9 vallen ook genetische en biometrische kenmerken. Daarvan benadrukt de Commissie juist dat de bescherming ervan ongewijzigd moet blijven.
Uitstel implementatie AI-verordening?
Ook de AI-verordening gaat op de schop. De Commissie wil het onder meer makkelijker maken voor aanbieders van AI-systemen om te voldoen aan de privacywetgeving. Kleine en middelgrote ondernemingen worden vrijgesteld van bepaalde verplichtingen uit de AI-verordening, zoals voor documentatie.
De AI-verordening is nog maar deels geïmplementeerd. Het is nog onduidelijke of de verdere implementatie wordt uitgesteld.
