Digitale Omnibus uitgelegd: de AVG (2/4)

Met de komst van de Digitale Omnibus komt er een nieuwe definitie van persoonsgegevens. Waar de AVG nu uitgaat van een absoluut begrip – namelijk dat informatie een persoonsgegeven is zodra het redelijkerwijs te herleiden is tot een individu – verschuift het begrip met de komst van de Omnibus naar een contextafhankelijke benadering. De vraag wordt dan: kan deze specifieke partij deze persoon identificeren? Hiermee codificeert de Uniewetgever de lijn van het Hof van Justitie van de EU. Hierover hebben wij eerder een artikel geschreven.

Deze verandering betekent dat dezelfde dataset onder de AVG kan vallen voor partij A, maar voor partij B daarbuiten kan vallen. Vooral bij gepseudonimiseerde datasets kan dat verschil groot zijn. De Uniewetgever probeert hiermee meer ruimte te geven voor innovatie.

De Omnibus wijzigt niet alleen het begrip persoonsgegevens, maar ook de manier waarop pseudonimisering juridisch wordt benaderd. De Europese Commissie krijgt de bevoegdheid om uniforme criteria vast te stellen die bepalen wanneer pseudonieme data niet langer als persoonsgegevens geldt. Dit gebeurt via een implementing act, in nauwe afstemming met de European Data Protection Board (‘EDPB’).

Die wijziging kan grote impact hebben: de grens tussen pseudonimisering en anonimisering wordt soepeler. Er ontstaat meer ruimte om met datasets te werken zonder steeds aan alle AVG‑verplichtingen te hoeven voldoen

De regels voor datalekmeldingen worden eveneens veranderd. Als het aan de Uniewetgever ligt, moeten alleen datalekken met een waarschijnlijk hoog risico gemeld worden. De meldtermijn verschuift bovendien van 72 naar 96 uur. Daarnaast komt er één centraal meldportaal voor alle relevante kaders, waaronder de AVG, NIS2, DORA en de Cyber Resilience Act.

De Omnibus introduceert verschillende uitzonderingen en grondslagen die AI‑ontwikkeling en -training moeten vergemakkelijken.

Centraal staat een nieuwe wettelijke grondslag in artikel 88quater. Hiermee wordt het mogelijk om AI‑modellen te trainen op basis van het gerechtvaardigd belang. De nadruk verschuift daarmee weg van toestemming als voorwaarde. Alleen in risicovolle situaties blijft toestemming nodig.

Opmerkelijk is de speciale uitzondering voor het gebruik van bijzondere persoonsgegevens bij AI‑training. Het AI-model hoeft deze gegevens niet te verwijderen wanneer dat “onevenredig belastend” zou zijn, mits die gegevens niet in de modeloutput zichtbaar worden. 

De informatieplichten uit de AVG worden in diverse situaties versoepeld. Bij niet‑data‑intensieve activiteiten hoeft een privacyverklaring niet langer actief te worden verstrekt wanneer de organisatie redelijkerwijs mag aannemen dat de betrokkene deze informatie al heeft. Dat geldt ook voor beperkte en laag‑risico‑verwerkingen, en sommige interne processen.

Dit moeten wel situaties zijn waar de relatie tussen de verwerkingsverantwoordelijke en de betrokkene zeer duidelijk afgebakend is en activiteiten van de verwerkingsverantwoordelijke niet data-intensief zijn. Denk bijvoorbeeld aan de relatie tussen een zelfstandige en zijn klanten.

De Uniewetgever wil ook het recht op inzage in gevallen van misbruik makkelijker kunnen laten weigeren. Verwerkingsverantwoordelijken hoeven een inzageverzoek niet te honoreren wanneer zij redelijke gronden hebben om te denken dat het verzoek kennelijk ongegrond is. Ook hier is het criterium flexibeler dan de huidige drempel van concreet misbruik. Bovendien vervalt de inzageplicht wanneer het gaat om niet‑data‑intensieve verwerkingen én de betrokkene redelijkerwijs al weet welke gegevens worden verwerkt.

Voor betrokkenen betekent dit een verzwakking van hun inzagerecht. Voor organisaties daarentegen ontstaat er meer ruimte. Het Hof van Justitie van de EU lijkt deze lijn in het Brillen Rottler arrest (C-526/24) al te hebben gevolgd.

De EDPB krijgt in de Omnibus een centrale rol bij het opstellen van uniforme lijsten met verwerkingen die altijd of nooit een Data Protection Impact Assessment (‘DPIA’) vereisen. Nationale lijsten komen hiermee te verdwijnen. Er komt waarschijnlijk één geharmoniseerd toetsingskader voor organisaties in heel Europa.

De Uniewetgever zal voorwaarden opstellen wanneer een besluit dat uitsluitend op geautomatiseerde verwerking is gebaseerd, is toegestaan. Wanneer er een besluit met rechtsgevolgen of vergelijkbare aanzienlijke gevolgen wordt genomen, heeft “meekijken” niet langer te gelden als menselijke tussenkomst. Er zal dus een actieve beoordeling van alle relevante factoren moeten plaatsvinden, waarbij degene die een beoordeling uitvoert een besluit kan wijzigen of tegenhouden.

De Omnibus lijkt de AVG flink onder de loep te nemen. De veranderingen lijken vooral ruimte te bieden voor wetenschappelijke ontwikkelingen. Ook lijkt de EDPB praktische handvatten te bieden voor een meer uniforme en werkbare toepassing van de reeds bestaande verplichtingen, al blijft het afwachten hoe deze voorstellen er uiteindelijk definitief uit zullen zien.