Dit staat er in de Digitale Omnibus

Aanpassing kernbegrip persoonsgegevens

Sinds de inwerkingtreding van de AVG zijn er verschillende uitspraken van het Europese Hof geweest die vorm geven aan het begrip ‘persoonsgegevens’. De uitleg van dit begrip is van cruciaal belang, want de regels uit de AVG gelden enkel voor gegevens die kwalificeren als persoonsgegevens. In een recente uitspraak bevestigde het Europese Hof dat het begrip ‘relatief’ is (SRB-zaak). Dit betekent dat per ontvanger moet worden beoordeeld of de gegevens ook daadwerkelijk persoonsgegevens zijn.

De Commissie lijkt de uitkomst van deze zaak te willen codificeren in een aanvulling op het begrip persoonsgegevens in de AVG. Door de volgende zinnen toe te voegen aan de originele tekst (artikel 4 sub 1): “Information relating to a natural person is not necessarily personal data for every other person or entity, merely because another entity can identify that natural person. Information shall not be personal for a given entity where that entity cannot identify the natural person to whom the information relates, taking into account the means reasonably likely to be used by that entity. Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates”

Met de laatste zin van deze toevoeging lijkt de Commissie een uitkomst van een andere zaak van het Europese Hof te willen dwarsbomen. In de Scania-zaak oordeelde het Hof namelijk over de situatie waarin een ontvanger van gegevens deze op een dusdanige manier kan combineren met andere gegevens dat het persoonsgegevens worden. In dat geval worden het ook zogenaamde “indirecte persoonsgegevens” voor de originele verstrekker, aldus het Hof. Dit zorgde voor veel vraagtekens onder privacyjuristen en de Commissie lijkt daar dus een streep door te willen zetten.

Het voorgestelde nieuwe artikel 41a AVG is in deze context zeer relevant. Hierin introduceert de Commissie de bevoegdheid voor zichzelf om criteria vast te kunnen stellen wanneer gepseudonimiseerde gegevens geen persoonsgegevens meer zijn.

De Commissie stelt dus voor om een kernbegrip van de AVG aan te passen, deels om bestaande jurisprudentie te bevestigen (SRB-zaak) en deels om ongewenste effecten daarvan te voorkomen (Scania-zaak). Het zal zeker onderwerp van discussie worden of de voorgestelde tekst de lading van de genoemde zaken – en andere jurisprudentie over het begrip persoonsgegevens – voldoende dekt.

Gebruik persoonsgegevens voor training AI-systemen

Een ander speerpunt van de Digital Omnibus is de wens van de Europese Commissie om het makkelijker te maken om persoonsgegevens te gebruiken voor het trainen van AI-modellen en -systemen. Hiertoe zou een nieuw artikel 88c in de AVG moeten komen. Het voorgestelde artikel regelt dat de verwerking van persoonsgegevens in het kader van de ontwikkeling en werking van een AI-systeem kan worden uitgevoerd op basis van de grondslag ‘gerechtvaardigd belang’. Ondanks de vele uitzonderingen en waarborgen die verder in het voorgestelde artikel staan, betekent dit dus dat er in beginsel geen toestemming nodig is van de betrokkenen om hun gegevens te verwerken voor het trainen van AI-toepassingen.

Om te voorkomen dat voor bijzondere persoonsgegevens - zoals gegevens over etniciteit of geloof - alsnog toestemming vereist is, stelt de Commissie hiervoor een aanvullende uitzondering voor. Dit is terug te zien in een voorgestelde aanvulling op artikel 9 AVG, specifiek voor verwerkingen in de context van de ontwikkeling en inzet van AI-systemen en -modellen. Dit is echter geen blanco cheque, want de Commissie stelt ook een nieuw lid voor dat grenzen stelt aan deze uitzondering. Zo moet zo veel mogelijk worden voorkomen dat dergelijke gegevens worden verwerkt en als ze toch worden aangetroffen moeten ze worden verwijderd. Dat laatste geldt niet als dit “onevenredig veel moeite” kost. In dat geval hoeft er enkel voor te worden gezorgd dat de gegevens niet worden gebruikt voor output en dat ze niet worden gedeeld. Deze voorwaarden zullen voldoende stof zijn voor de discussies aan de onderhandelingstafel, want er is veel ruimte voor interpretatie en praktische invulling.

Saillant detail is dat het uit de eerder gelekte stukken bleek dat de Europese Commissie van plan was om de definitie van bijzondere persoonsgegevens in zijn algemeenheid te limiteren. Daar kwam veel kritiek op vanuit mensenrechtenorganisaties. In Nederland waarschuwde bijvoorbeeld het Nederlands Juristen Comité voor de Mensenrechten (NJCM) dat de huidige ruime bescherming noodzakelijk is ter voorkoming van (indirecte) discriminatie, bijvoorbeeld in het geval van risicoprofilering. Het is gissen of de internationale ophef de reden daartoe was, maar de aanpassing van het algemene begrip uit artikel 9 AVG heeft het definitieve voorstel uiteindelijk niet gehaald.

Aanpassingen en vertraging AI Act

Ondanks dat het nog niet lang geleden is dat de AI Act is uitonderhandeld, wil de Commissie ook bepaalde onderdelen van deze wet aanpassen. Dit blijkt uit een apart voorstel van de Commissie. Daarin staat ook het plan om een deel van de gefaseerde inwerkingtreding van de verordening uit te stellen. De regels voor hoog-risico systemen zouden namelijk in augustus volgend jaar van kracht worden, maar de Commissie lijkt deze te willen uitstellen tot eind 2027 of zelfs 2028. Het een en ander zou afhankelijk worden van hoe snel de benodigde standaardisatie en richtlijnen klaar zijn.

Aan de artikelteksten van de AI Act wordt ook gesleuteld. Zo vervalt de verplichting tot ‘AI-geletterdheid’ voor bedrijven en organisaties helemaal in de voorstellen. Daarvoor in de plaats komt een verplichting voor de EU en de lidstaten om AI-geletterdheid te bevorderen en te ondersteunen.

Een andere aanpassing die opvalt is de verruiming van de mogelijkheid om bijzondere persoonsgegevens te gebruiken voor bias-detectie en correctie. Artikel 10 lid 5 van de huidige tekst van de AI Act maakt het al mogelijk om bijzondere persoonsgegevens te gebruiken voor het opsporen en corrigeren van bias, maar enkel voor hoog-risico systemen. De Commissie wil dit nu uitbreiden naar alle AI-modellen en -systemen.

Een ander voorstel dat opvalt is het vervallen van de notificatieplicht uit artikel 49 lid 2 AI Act. Dit verdient enige toelichting. Tijdens de hoog oplopende onderhandelingen over de huidige tekst van de AI Act is een uitzondering bedongen op de hoog-risico systemen uit bijlage III. Namelijk dat deze niet als een hoog-risico systeem kwalificeren als deze volgens de provider in de praktijk niet leidt tot een significant risico (zie artikel 6 lid 2 AI Act). Als waarborg is hier tegenover gezet dat de provider deze afweging moet registreren in een EU-database; externe verantwoording dus. In de nieuwe voorstellen van de Commissie vervalt deze registratieplicht.

E-privacy is dood, leve e-privacy

Een vervolg op de e-privacy richtlijn bleef jarenlang op de plank liggen als concept-verordening en werd later helemaal van de Brusselse planning gehaald. De Commissie lijkt met het voorstel voor een nieuwe artikel 88a en een nieuw artikel 88b een deel van de modernisering te willen regelen in de AVG. Het betreft specifiek de regels over “opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker”. De geldende regels hierover zijn te vinden in artikel 5 lid 3 van de e-privacy richtlijn en de Nederlandse implementatie daarvan in artikel 11.7a Telecommunicatiewet. Ook wel bekend als: de cookiewet – maar zoals de hiervoor geciteerde tekst laat zien is het breder dan dat.

De huidige regels blijven bestaan, maar een groot gedeelte wordt “overgenomen” door de nieuwe artikelen in de AVG als het aan de Europese Commissie ligt. Elke toegang tot een apparaat waarbij persoonsgegevens worden verwerkt, wordt dan namelijk geregeld door het nieuwe artikel 88a. In dit nieuwe artikel blijft toestemming weliswaar de hoofdregel, het creëert vooral uitzonderingen voor gevallen die de EC ziet als laag risico, of wanneer het dienstverlening betreft waar de betrokkene zelf om heeft gevraagd. Saillant detail is dat ook “subsequent processing” automatisch wordt toegestaan, de overige waarborgen van de AVG blijven hierbij natuurlijk gelden.

Met het voorgestelde nieuwe artikel 88b AVG hoopt de Commissie de vele momenten waar om toestemming wordt gevraagd nog meer te verminderen. Daarin worden namelijk de zogenaamde ‘privacy signals’ geïntroduceerd. Een oud idee in een nieuw jasje: een gebruiker kan op browser- of apparaatniveau aangeven of hij wel of niet standaard toestemming wil geven. De verwerkingsverantwoordelijken moeten deze instelling dan respecteren. Behalve de zogeheten ‘media service providers’, die zijn heel specifiek uitgezonderd van nieuwe voorgestelde verplichting.

En nog veel meer

In het pakket van de Commissie staan nog veel meer interessante voorstellen. Een aantal daarvan verdienen eigenlijk ook een uitgebreide toelichting. Bijvoorbeeld het voorstel om via een aanpassing van artikel 12 AVG het uitoefenen van rechten van betrokkenen te beperken. Namelijk voor de gevallen waar er sprake zou zijn van ‘misbruik ten behoeve van een andere reden dan gegevensbescherming’. Ook de wijzigingen in het artikel over het melden van datalekken aan de Autoriteit Persoonsgegevens (artikel 33 AVG) zijn noemenswaardig. Bijvoorbeeld het voorstel dat er slechts een melding hoeft gedaan te worden aan de toezichthouder als er sprake is van “waarschijnlijk een hoog risico”. De maatstaf die we reeds kennen van de meldplicht richting betrokkenen.

Al deze, en de vele niet in dit stuk behandelde, voorstellen uit de Digital Omnibus worden nu onderwerp van de onderhandelingen in Brussel. Er zal aan de onderhandeltafel nog veel worden gesleuteld aan de teksten. Zeker gelet op de sterke lobby van niet-Europese technologiebedrijven, de discussie over Europese digitale soevereiniteit en de vele kritiekpunten die zijn geuit door mensenrechtenorganisaties. Wordt ongetwijfeld vervolgd.