Brief regering : Fiche: Omnibus AI en Omnibus Digitaal

Nr. 4223
BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 december 2025

Overeenkomstig de bestaande afspraken ontvangt u hierbij twee fiches die werden opgesteld
door de werkgroep Beoordeling Nieuwe Commissie voorstellen (BNC).

Fiche: Investeringsplan duurzaam Vervoer (Kamerstuk 22 112, nr. 4222).

Fiche: Omnibus AI en Omnibus Digitaal.

De Minister van Buitenlandse Zaken,
D.M. van Weel

Fiche: Omnibus AI en Omnibus Digitaal

1. Algemene gegevens

a) Titel voorstel

Proposal for a regulation of the European Parliament and of the Council amending Regulations
(EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation
of harmonised rules on artificial intelligence (Digital Omnibus on AI)

Proposal for a regulation of the European Parliament and of the Council amending Regulations
(EU) 2016/1679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and
Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification
of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150,
(EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus)

b) Datum ontvangst Commissiedocument

19 november 2025

c) Nr. Commissiedocument

COM(2025) 836 en COM(2025) 837

d) EUR-Lex

EUR-Lex – 52025PC0836 – EN – EUR-Lex

EUR-Lex – 52025PC0837 – EN – EUR-Lex

e) Nr. impact assessment Commissie en Opinie Raad voor Regelgevingstoetsing

Niet opgesteld

f) Behandelingstraject Raad

Raad Algemene Zaken

g) Eerstverantwoordelijk ministerie

Ministerie van Economische Zaken in nauwe samenwerking met het Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties en het Ministerie van Justitie en Veiligheid

h) Rechtsbasis

Omnibus AI: artikel 114 van het Verdrag betreffende de Werking van de Europese Unie
(VWEU)

Omnibus Digitaal: artikel 114 en artikel 16 VWEU.

i) Besluitvormingsprocedure Raad

Voor beide voorstellen: Gekwalificeerde meerderheid

j) Rol Europees Parlement

Voor beide voorstellen: Medebeslissing

2. Essentie voorstel

a) Inhoud voorstel

Op 19 november 2025 heeft de Europese Commissie (hierna: de Commissie) een Omnibus
Digitaal en een Omnibus AI gepresenteerd als onderdeel van een Digitaal Pakket. Met
het pakket beoogt de Commissie de innovatiekracht en groeimogelijkheden van EU-bedrijven
te versterken en hun administratieve lasten te verlagen. De omnibusvoorstellen bevatten
gerichte wijzigingen van bestaande EU-wetgeving op het gebied van data, cybersecurity
en AI met als doel vereenvoudiging en lastenverlichting. Dit BNC-fiche apprecieert
de Omnibusvoorstellen in het Digitaal Pakket. De andere onderdelen van het Digitaal
Pakket worden in aparte BNC-fiches geapprecieerd.

Omnibus AI

Het voorstel voor een Omnibus AI wijzigt de AI-verordening1. Een belangrijke voorgestelde wijziging is dat de datum waarop de bepalingen van
de AI-verordening met betrekking tot hoog-risico AI-systemen van toepassing worden
wordt uitgesteld. Voor hoog-risico AI-systemen die zijn opgenomen in bijlage III van
de AI-verordening, worden de regels van toepassing zes maanden nadat de Commissie
een besluit neemt dat adequate steunmaatregelen beschikbaar zijn (voor bepaalde categorieën).
Voor hoog-risico AI-systemen die onder één van de in bijlage I bij de verordening
genoemde EU-regelgeving vallen, gelden de regels vanaf twaalf maanden na dat besluit
van de Commissie. Wanneer de Commissie geen besluit neemt, treden de bepalingen uiterlijk
in werking op 2 december 2027 voor bijlage III AI-systemen en op 2 augustus 2028 voor
bijlage I AI-systemen. Dit zou neerkomen op een uitstel van 16 respectievelijk 12
maanden ten opzichte van de huidige deadlines.

Het voorstel schrapt voorts de registratieplicht voor hoog-risico AI-systemen die
naar het oordeel van de aanbieder geen significant risico op schade voor de gezondheid,
veiligheid of grondrechten van natuurlijke personen inhouden. Deze AI-systemen hoeven
vervolgens niet aan de bepalingen inzake hoog-risico AI-systemen te voldoen, maar
moeten volgens de huidige tekst van de AI-verordening wel geregistreerd worden in
een publieke database. Ook wordt de inspanningsverplichting geschrapt voor aanbieders
en gebruiksverantwoordelijken van AI-systemen om voor AI-geletterdheid te zorgen binnen
hun organisatie. In plaats hiervan komt een verplichting voor lidstaten en de Commissie
om AI-geletterdheid te bevorderen onder aanbieders en gebruiksverantwoordelijken.

Daarnaast breidt het voorstel de wettelijke basis voor aanbieders en gebruikers van
AI-systemen en -modellen om onder bepaalde voorwaarden bijzondere categorieën van
persoonsgegevens (zoals gegevens over ras, gezondheid, seksuele geaardheid) te verwerken
voor het detecteren en corrigeren van bias uit naar alle AI-systemen en -modellen.
In de huidige tekst van de AI-verordening is deze wettelijke basis alleen van toepassing
op hoog-risico AI-systemen.

Het voorstel zorgt ook dat een aantal maatregelen om naleving van de AI-verordening
makkelijker te maken voor micro-ondernemingen en midden- en kleinbedrijf op meer bedrijven
van toepassing wordt. Dit gaat o.a. om een vereenvoudigd systeem voor kwaliteitsbeheer
en het schrappen van verplichte sjablonen. Ook worden de bevoegdheden van het EU AI-bureau
(AI Office) uitgebreid, o.a. door het AI-bureau exclusief bevoegd te maken voor AI-systemen
die zijn geïntegreerd in zeer grote online platforms en zeer grote online zoekmachines2 en de mogelijkheid te geven een regulatory sandbox op EU-niveau op te zetten voor AI-systemen voor algemene doeleinden.

Omnibus Digitaal

Het voorstel voor een Omnibus Digitaal wijzigt verschillende Europese verordeningen
en richtlijnen, met name met betrekking tot data en cybersecurity. Ten eerste worden
de Open Data Richtlijn (ODR)3, Datagovernanceverordening4 (DGA) en Free Flow of Non-Personal Dataverordening5 (FFoD) ingetrokken. De verplichtingen uit de DGA voor data-altruïstische organisaties6 en databemiddelingsdiensten worden opgenomen in de Dataverordening7. Daarbij worden de eisen versoepeld en wordt certificering ook voor databemiddelingsdiensten
vrijwillig. Het verbod op datalokalisatie-eisen uit de FFoD wordt ook opgenomen in
de Dataverordening. De regels over het hergebruik van beschermde categorieën data
uit de DGA worden samengevoegd met de regels voor het hergebruik van open data in
de ODR en opgenomen in de Dataverordening. Hierbij blijft flexibiliteit voor lidstaten
voor nationale oplossingen voor openbaarmaking van data behouden. Het voorstel introduceert
de mogelijkheid voor overheidsinstanties om andere voorwaarden en tarieven te stellen
aan zeer grote bedrijven, waaronder de zogenaamde «poortwachters» uit de Digitalemarktenverordening8 (DMA), wanneer zij gegevens beschikbaar maken voor hergebruik aan deze bedrijven.

In de Dataverordening worden nieuwe waarborgen voor bescherming van bedrijfsgeheimen
in data uit internet-of-things-producten geïntroduceerd. Daarnaast worden de bepalingen omtrent overstappen tussen
clouddiensten niet van toepassing verklaard op diensten waarvoor de contracten voor
12 september 2025 zijn afgesloten en die op maat zijn gemaakt voor specifieke klanten
of worden aangeboden door een mkb of small mid cap (SMC).9 Het voorstel beperkt de reikwijdte van de bevoegdheid voor overheidsinstanties om
data op te vragen in situaties van «uitzonderlijke noodzaak» tot alleen «algemene
noodsituaties». De regels over de samenstelling van het Europese Comité voor Gegevensinnovatie
(EDIB) uit de DGA en Dataverordening worden samengevoegd en aangepast, o.a. zodat
hier vertegenwoordigers van lidstaten aan deel kunnen nemen.

Daarnaast wijzigt de Omnibus Digitaal regelgeving omtrent privacy. Met betrekking
tot de Algemene Verordening Gegevensbescherming (AVG) wijzigt het voorstel de definitie
van persoonsgegevens met de intentie om deze meer in lijn te brengen met het Single Resolution Board-arrest.10 Ook staat het voorstel de verwerking van bijzondere persoonsgegevens toe voor verificatiedoeleinden
en voor de ontwikkeling en exploitatie van AI-modellen. Aan de mogelijkheden tot het
uitoefenen van rechten door betrokkenen worden nadere beperkingen gesteld om misbruik
te voorkomen. Het voorstel stelt dat geautomatiseerde besluitvorming mag, mits er
aan bepaalde voorwaarden wordt voldaan. Nu mag geautomatiseerde besluitvorming juist
niet, tenzij er aan bepaalde voorwaarden wordt voldaan. De plicht tot het melden van
datalekken wordt uitdrukkelijker beperkt tot gevallen waarin het lek daadwerkelijk
nadelige gevolgen voor personen kan hebben, en de termijn waarbinnen het lek gemeld
moet worden gaat van 72 naar 96 uur. Ook wordt het Europees Comité voor Gegevensbescherming
(EDPB), waarin de Europese AVG-toezichthouders verenigd zijn, verplicht lijsten op te stellen waarvoor geen data protection impact assessment (DPIA) vereist is. Ten slotte wordt geregeld dat «gerechtvaardigd belang» een grondslag
is om AI-modellen te trainen. De regels over gegevensverwerking voor cookies uit artikel
5(3) van de ePrivacy-richtlijn worden voor zover het persoonsgegevens betreft in aangepaste
vorm ondergebracht onder de AVG. De kern daarvan blijft dat toestemming nodig is voor
cookies en soortgelijke tracking-technologieën. Hierop wordt een aantal uitzonderingen
geïntroduceerd, bijvoorbeeld voor analytische of veiligheidsdoeleinden. Daarnaast
moeten toestemmings- en weigeringshandelingen met dit voorstel in de toekomst geautomatiseerd
of met een enkele klik uitgevoerd kunnen worden. Verder voorziet het voorstel in meerdere
nieuwe mogelijkheden voor uitvoeringshandelingen van de Commissie in de AVG, zoals
voor standaarden voor datalekmeldingen en omschrijving van hoog risico gevallen voor
datalekken.

Het voorstel geeft het EU-agentschap voor cyberbeveiliging (ENISA) de opdracht een
Europees meldpunt (single entry point) in te richten voor rapportageverplichtingen volgend uit verschillende soorten wetgeving,
namelijk de Verordening cyberweerbaarheid (CRA), NIS2-richtlijn, CER,11 DORA,12 eIDAS13 en AVG. Hiervoor wordt deze Europese regelgeving geamendeerd zodat incidentmeldingen
via dit (nog in te richten) Europese meldpunt gemeld worden aan nationale autoriteiten.

Tot slot wordt de Platform-to-Business(P2B)-verordening effectief geschrapt omdat
de verplichtingen zouden overlappen met regels uit de Digitale dienstenverordening
(DSA) en DMA.

b) Impact assessment Commissie

Niet opgesteld Het kabinet zal hier opheldering over vragen bij de Commissie en de
gevolgen voor regeldruk, uitvoerbaarheid en bescherming van grondrechten verder in
kaart te brengen.

3. Nederlandse positie ten aanzien van het voorstel

a) Essentie Nederlands beleid op dit terrein

Nederland zet zich in voor het verminderen van regeldruk en het bevorderen van betere
regelgeving, zoals vastgelegd in het Actieprogramma Minder Druk Met Regels (MDMR).
Het kabinet richt zich op het vereenvoudigen van wet- en regelgeving, met focus op
het mkb, en streeft onder andere naar het schrappen van 500 regels.

Deze inzet sluit aan bij de Omnibus-aanpak van de Commissie, waar die gericht is op
het vereenvoudigen van EU-wetgeving en het verminderen van administratieve lasten.
Nederland ondersteunt in die gevallen deze aanpak, omdat het bijdraagt aan een coherente
uitvoering van zowel nationale als Europese regelgeving, met als doel een verbetering
van het ondernemingsklimaat.

In het non-paper over regeldruk en digitale wetgeving dat in november 2025 met uw
Kamer is gedeeld heeft het kabinet aangegeven14 een initiatief om de regeldruk van digitale wetgeving te verlagen te verwelkomen.
Het non-paper stelt dat hierbij drie uitgangspunten centraal moeten staan. Ten eerste
moeten de doelen van de wetgeving niet worden afgezwakt. De omnibus moet zich richten
op het stroomlijnen van rapportageverplichtingen en definities, het vergroten van
duidelijkheid en consistentie en het makkelijker maken van naleving. Daarnaast kunnen
de nalevingskosten van digitale wetgeving sterk worden gereduceerd door de ontwikkeling
van praktische tools en ondersteuning. Tot slot moet de Europese governance van de
wetgeving worden versterkt. Dit is nodig zodat de wetgeving duidelijk en consistent
wordt uitgelegd en geïnterpreteerd, ook over landsgrenzen heen en waar wetgeving overlapt.

Zoals aangegeven in de Strategie Digitale Economie (SDE) en de voortgangsrapportages
daarvan15 heeft het kabinet er de afgelopen jaren op in gezet om belangrijke randvoorwaarden
en grondrechten in de digitale economie binnen de Europese Unie beter te borgen. Dit
gebeurt via Europese regelgeving die tot doel heeft de Europese digitale interne markt
te versterken en te verdiepen. Nederland heeft de afgelopen jaren actief bijgedragen
aan de totstandkoming van nieuwe Europese regelgeving op het gebied van digitalisering,
waaronder de AI-verordening, Verordening digitale markten (DMA) en Dataverordening
(DA). Deze Europese regelgeving draagt bij aan het creëren en verdiepen van een innovatieve
digitale interne markt met eenduidige uniforme regels voor bedrijven en overheden.
Het kabinet zet daarbij erop in dat de bescherming van grondrechten gewaarborgd is,
consumenten keuzevrijheid en vertrouwen hebben, waar bedrijven op een gelijk speelveld
concurreren, ondernemen in Nederland aantrekkelijk is en overheden hun wettelijke
taak effectief kunnen uitvoeren.

Bij de uitvoering van deze Europese regelgeving zet het kabinet erop in dat deze doelgericht
en uniform worden geïmplementeerd, toegepast en gehandhaafd binnen Nederland en de
EU.

Hiervoor is het belangrijk dat er voldoende capaciteit is bij toezichthouders. Daarnaast
is een duidelijke rolverdeling en een coherente en gecoördineerde aanpak binnen Nederland
en de EU nodig om fragmentatie en ogenschijnlijke willekeur te voorkomen. Zo moeten
bedrijven en consumenten meer duidelijkheid krijgen over waar zij aan toe zijn.16

b) Beoordeling + inzet ten aanzien van dit voorstel

Het kabinet verwelkomt dat de Commissie met de omnibussen erop inzet om digitale wetgeving
te vereenvoudigen en stroomlijnen. Dit past binnen de bredere doelstelling van het
kabinet om de regeldruk terug te dringen. Het kabinet zet erop in dat deze omnibussen
zich focussen op versimpeling, verduidelijking en stroomlijning van wetgeving en dat
de doelen van de wetgeving daarbij overeind blijven. Het kabinet ziet dat het pakket
mogelijk ook kansen biedt voor de ontlasting van de uitvoeringsorganisaties en de
vereenvoudiging van de uitvoering van beleid. Alhoewel het kabinet veel aanpassingen
binnen de omnibussen kan steunen, omdat deze in lijn zijn met de Nederlandse inzet,
gaat een deel van de voorstellen in de Omnibus Digitaal en Omnibus AI verder dan het
versimpelen, verduidelijken en stroomlijnen van wetgeving. In het bijzonder bij een
aantal fundamentele wijzigingen aan de AVG heeft het kabinet serieuze zorgen, omdat
deze wijzigingen het niveau van gegevensbescherming wezenlijk verminderen, zonder
dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk. Afhankelijk
van hoe het Europees meldpunt zal worden ingericht, zal blijken of dit voorstel effectief
zal bijdragen aan het verlagen van regeldruk en of nationale competenties rondom nationale
veiligheid mogelijk worden aangetast.

Het ontbreken van een impact assessment maakt het voor het kabinet moeilijk om de
effecten van de bovengenoemde voorstellen te beoordelen, vooral met betrekking tot
de verwachte regeldrukverlagende effecten en de impact op fundamentele rechten en
nationale bevoegdheden. Het kabinet zal opheldering vragen bij de Commissie en de
gevolgen voor regeldruk, uitvoerbaarheid en bescherming van grondrechten verder in
kaart te brengen voordat het tot een definitief oordeel komt op deze onderdelen. Het
kabinet hecht er dan ook aan dat er in het bijzonder voor wijzigingen met impact op
gegevensbescherming en grondrechten gelegenheid is om de voorstellen en de gevolgen
daarvan gedegen te analyseren en deze inhoudelijk te bespreken. Het kabinet vindt
daarnaast dat het nog te verschijnen advies van de Europees Toezichthouder voor gegevensbescherming
(EDPS) al dan niet in samenspraak met Europees Comité voor gegevensbescherming (EDPB)
moet worden betrokken bij de bespreking van dit voorstel. Het kabinet zal in de besprekingen
ervoor pleiten daar waar het voorstellen betreft die verdergaan dan vereenvoudiging
deze op een reguliere wijze te bespreken. Ook zal het kabinet de Commissie verzoeken
een uitgebreidere analyse van de impact van deze voorstellen te presenteren en de
voorstellen te behandelen op een wijze die recht doet aan de zorgpunten. De impact
op grondrechten moet niet worden onderschat en weegt voor het kabinet zwaar in haar
oordeel over dit voorstel.

Één van de voorgestelde wijzigingen aan de AVG die de meeste impact lijkt te hebben
op het niveau van gegevensbescherming is de wijziging van de definitie van het begrip
persoonsgegevens.

Deze wijziging zou volgens de Commissie een codificatie van het SRB-arrest17 betreffen, maar op basis van de eerste analyse van het kabinet gaat het voorstel
verder dan een codificatie. Daarnaast wordt het voorstel gedaan voor het creëren van
grondslagen voor het verwerken van (met name bijzondere) persoonsgegevens voor het
trainen en exploiteren van AI-systemen. Dit voorstel lijkt nu vast te leggen dat bij
de training en exploitatie van een AI-model de grondslag «gerechtvaardigd belang»
per definitie is gegeven zonder dat een noodzakelijkheidstoets en de bijbehorende
belangenafweging moet plaatsvinden. Het voorstel voorziet ook in de verwerking van
bijzondere persoonsgegevens voor dit doel. Juist vanwege de gevolgen die de verwerking
van deze bijzondere categorieën van persoonsgegevens voor de betrokkenen kunnen hebben,
genieten deze extra bescherming. Wanneer deze ook mogen worden verwerkt voor genoemd
doel, is het extra belangrijk dat er goede randvoorwaarden zijn. Het kabinet heeft
serieuze zorgen over een aantal voorgestelde wijzigingen aan de AVG.

Een hiermee samenhangend aandachtspunt is de uitbreiding van de in de AI-verordening
gecreëerde wettelijke basis voor aanbieders en gebruiksverantwoordelijken van hoog-risico
AI-systemen om onder bepaalde voorwaarden bijzondere categorieën van persoonsgegevens
te verwerken voor het detecteren en corrigeren van bias naar alle AI-systemen en modellen. In de huidige tekst van de AI-verordening is deze wettelijke
basis alleen van toepassing op hoog-risico AI-systemen. De verwerking van bijzondere categorieën van persoonsgegevens, ook als
die is bedoeld om bias te voorkomen, brengt in zijn algemeenheid risico’s met zich
mee, zoals datalekken en misbruik van deze gegevens. Deze grondslag gaat gepaard met
een aantal waarborgen die al golden voor deze verwerking voor hoog-risico AI-systemen.
Het kabinet bestudeert verder of deze risico’s proportioneel zijn tot het doel van
detecteren en corrigeren van bias en of deze risico’s voldoende kunnen worden beperkt
met het huidige voorstel.

Met de nieuwe mogelijkheden voor uitvoeringshandelingen van de Commissie verschuiven
bevoegdheden van de onafhankelijke toezichthouders en de EDPB naar de Commissie. De
Commissie kan hierdoor regels stellen over de gevallen waarin een datalek moet worden
gemeld omdat er een hoog risico is, over de gevallen waarin DPIA’s verplicht zijn,
en over de criteria die bepalen of er sprake is van persoonsgegevens bij pseudonimisering.
Het kabinet ziet hier een risico van meer politieke besluitvorming, wat niet vanzelfsprekend
past bij een verordening die mede strekt tot grondrechtenbescherming. De AVG is immers
een uitwerking van het recht op gegevensbescherming. Weliswaar kunnen grondrechten
worden ingeperkt, maar dit moet zorgvuldig worden gewogen.

Het kabinet ziet dat er omtrent cookies oplossingen mogelijk zijn die geen afbreuk
doen aan het niveau van gegevensbescherming dat de AVG biedt. Ten opzichte van artikel
5(3) van de ePrivacy-richtlijn worden nieuwe uitzonderingen toegestaan op de hoofdregel
dat toestemming nodig is voor het verwerken van persoonsgegevens op apparatuur van
burgers. Het kabinet hecht er belang aan dat er een andere rechtmatige grondslag voor
verwerking vereist blijft en zal de EC om opheldering vragen. Het kabinet staat ook
positief tegenover voorstellen om geautomatiseerde toestemming te kunnen geven of
weigeren voor cookies, zolang dit in lijn is met de eisen voor toestemming uit de
AVG. Dit kan zowel regeldruk als privacy ten goede komen. Ook steunt het kabinet dat
de EDPB wordt verplicht met lijsten te komen die verduidelijken wat wel en niet als
«high-risk» gegevensverwerking wordt gezien.

Het kabinet steunt het voorstel om cybersecuritywetgeving te simplificeren en harmoniseren,
en daarmee ook het doel om de regeldruk te verlagen voor bedrijven. Ook kijkt het
kabinet positief naar bestaande initiatieven om begrippen en definities bijvoorbeeld
te verduidelijken in EU-verband of drempelwaarden te harmoniseren op sectoraal niveau
binnen de EU.

Het kabinet heeft echter grote zorgen over de oprichting van een Europees meldpunt
om onder andere de CRA-, NIS2-, AVG- en CER-meldplichten zodoende samen te brengen.
Lidstaten, waaronder Nederland, hebben al nationale meldplatformen ingericht voor
het ontvangen van incidentmeldingen. Daarnaast werkt het kabinet al op nationaal niveau
aan de harmonisatie van meldplichten door de NIS2 en CER-meldingen samen te brengen
binnen het nationale platform. Het kabinet verwacht dat het verlagen van regeldruk
meer efficiënt en tijdig kan worden bereikt door voort te bouwen op bestaande nationale
oplossingen in plaats van het organiseren van een Europees meldpunt. Nationale meldstructuren
en meldpunten sluiten aan bij de manier van samenwerken en communiceren die entiteiten
hebben met de Nederlandse overheid.

Door de inrichting van een Europees meldpunt lijkt een deel van de nationale dienstverlening
rondom incidentenafhandeling daarnaast te verschuiven naar Europees niveau. Dit geldt
in het bijzonder voor meldingen onder de NIS2 en CER, daar waar incidenten bij de
Rijksoverheid en vitale infrastructuur gevoelige informatie omtrent nationale veiligheid
kunnen bevatten. Het kabinet benadrukt dat nationale meldstructuren, waarbij lidstaten
de directe en primaire ontvanger van incidentinformatie blijven, behouden moeten blijven.
Ook moet volgens het kabinet worden bezien of het oprichten, beheren en beveiligen
van een meldpunt voor verschillende soorten wetgeving past binnen het mandaat, de
capaciteit en de verantwoordelijkheden van ENISA.

Het kabinet heeft daarnaast zorgen omtrent beveiligingsrisico’s als het gaat om het
centraliseren van dergelijke meldplichten binnen één meldpunt. Het verwerken van zeer
gevoelige meldingen, en in het bijzonder incidentinformatie van 27 lidstaten is namelijk
erg kwetsbaar en een zaak van nationale veiligheid. Daarbij ziet het kabinet ook risico’s
ten aanzien van de afhankelijkheid van de continuïteit van een platform dat op EU-niveau
wordt beheerd. Het kabinet kijkt naar alternatieve oplossingen voor het simplificeren
en harmoniseren van cybersecuritywetgeving en het verlagen van regeldruk voor bedrijven.

Het voorstel voor de Omnibus AI bevat verschillende wijzigingen die het kabinet kan
steunen omdat deze het voor organisaties eenvoudiger maken om aan de AI-verordening
te voldoen, zonder afbreuk te doen aan de doelen van de verordening. Dit gaat onder
andere om het schrappen van een template voor post-market monitoring en dat het mkb
op vereenvoudigde wijze kan voldoen aan de vereisten voor kwaliteitsbeheer. Ten aanzien
van uitstel om aan de bepalingen over hoog-risico AI-systemen te voldoen ziet het
kabinet liever dat wordt vastgehouden aan vaste data zodat aanbieders en gebruiksverantwoordelijken
van AI zeker weten wanneer zij moeten voldoen aan de vereisten. De koppeling van inwerkingtreding
aan een Commissiebesluit brengt onzekerheid met zich mee. Als er uitstel komt ziet
het kabinet liever korter uitstel voor AI-systemen in bijlage III (bijvoorbeeld negen
maanden in plaats van meer dan twaalf) en concrete data zonder koppeling aan een Commissiebesluit.

Het kabinet heeft bezwaren tegen het schrappen van de registratieplicht voor hoog-risico
AI die alleen voor beperkte of procedurele taken worden gebruikt. Dit verlaagt de
transparantie over het gebruik van AI-systemen in hoog risico context en bemoeilijkt
het toezicht op deze systemen. Bovendien levert deze maatregel slechts een beperkte
verlichting van regeldruk op.

Het kabinet steunt de doelstelling om AI-geletterdheid te bevorderen bij personeel
dat met AI werkt. Kennis over de werking van AI op de werkvloer versterkt de capaciteiten
van werkgevers en werknemers om toe te zien op de goede inzet en risico’s van AI.
Tegelijkertijd erkent het kabinet dat de huidige verplichting in de AI-verordening,
waarbij organisaties maatregelen dienen te nemen om te zorgen voor een toereikend
niveau van AI-geletterdheid bij hun personeel, onvoldoende duidelijk is en onzekerheid
kan creëren bij deze organisaties. Het kabinet steunt daarom ook inspanningen om deze
verplichting te verduidelijken of organisaties bij het voldoen aan deze verplichting
te ondersteunen. Het voorstel van de Commissie is wat betreft het kabinet nog te onduidelijk
om hier een positie op in te nemen. Het kabinet zal daarom vragen om verduidelijking,
waarbij de hiervoor genoemde doelstellingen over de ontwikkeling van AI-geletterdheid
op de werkvloer worden meegenomen in de uiteindelijke afweging.

De gevolgen van het de facto schrappen van de P2B-verordening zijn niet direct te
overzien en het kabinet betwijfelt of het leidt tot een significante vermindering
van regeldruk. Het kabinet is daarom kritisch op het schrappen van de P2B-verordening.
De P2B bevat duidelijke en werkbare transparantieregels, die in beginsel slechts eenvoudige
implementatie door platforms vergen. Er zijn bij het kabinet geen signalen bekend
vanuit het bedrijfsleven dat de P2B tot (onnodige) regeldruk leidt. Weliswaar zijn
er raakvlakken met de inhoud van de DMA en DSA, maar de bepalingen in de P2B verschillen
qua doelstelling, inhoud, reikwijdte en niveau. De P2B-regels zijn daarmee complementair
aan de DMA en DSA en het bredere bereik biedt extra bescherming, met name ook voor
het MKB. Het specifieke en gedetailleerde karakter van de regels in de P2B draagt
bovendien bij aan de voorspelbaarheid en handhaving van andere regelgeving. De ACM
is sinds kort bevoegd om de P2B te handhaven en ontvangt inmiddels regelmatig meldingen
over niet-naleving van de P2B door platforms. Zonder de P2B kan de ACM geen toezicht
meer houden op problemen die ondernemers ondervinden op platforms die buiten Nederland
gevestigd zijn. Schrappen zal dus naar verwachting leiden tot minder rechtszekerheid
en minder bescherming voor met name kleinere ondernemers die handelen op platforms.
De Commissie zou volgens het kabinet eerst de gevolgen van het schrappen van de P2B-verordening
gedegen in kaart moeten brengen, zowel op Europees als nationaal niveau.

Het kabinet kan het samenbrengen van de verschillende Europese regelgeving met betrekking
tot data in de Dataverordening en de wijzigingen die daarmee gepaard gaan in grote
mate steunen. Het kabinet is positief over de aanpassingen van bepalingen in de Dataverordening
ten aanzien van het versterken van de waarborgen ter de bescherming van bedrijfsgeheimen
waar er risico is op lekken naar entiteiten uit derde landen, het opvragen van data
in publieke noodsituaties, de versoepelingen van de eisen voor databemiddelingsdiensten
en data-altruïstische organisaties en het schrappen van regels over slimme contracten.
Het kabinet zou verdere versimpeling, door het schrappen van de regels over het opvragen
van gegevens in publieke noodsituaties, steunen gezien de blijvende onduidelijkheid
over de toepassing van deze regels en de risico’s dat de gecreëerde bevoegdheid te
breed wordt ingezet. Het kabinet kan eveneens steunen dat de bepalingen over data-altruïstische
organisaties worden verwijderd.

Ook het opnemen van de Open Data Richtlijn in de Dataverordening kan het kabinet steunen.
Hierbij is wel belangrijk dat, zoals het voorstel stelt, er ruimte blijft voor nationale
flexibiliteit met betrekking tot het hergebruiken van persoonlijke data in publieke
registers. Ook is het kabinet kritisch over de gecreëerde mogelijkheid voor overheidsinstanties
om andere voorwaarden en hogere tarieven te stellen aan zeer grote bedrijven. Het
kabinet steunt de versoepeling van de regels voor databemiddelingsdiensten, maar ziet
liever dat de certificering van databemiddelingsdiensten dan wel verplicht blijft.

Het kabinet heeft zorgen over de uitzonderingen op de bepalingen over overstappen
tussen clouddiensten. Deze creëren juist onduidelijkheid voor gebruikers van clouddiensten
en belemmeren hun keuzevrijheid. Met name de uitzondering voor maatwerk-diensten kan
ertoe leiden dat de huidige situatie met vendor lock-in gehandhaafd blijft. Het kabinet ziet liever geen aanpassingen die de werking van
dit onderdeel van de Dataverordening beperken of vertragen gezien de Dataverordening
een belangrijk onderdeel is in het beter laten functioneren van de Europese cloudmarkt.
Het kabinet verwelkomt de gewijzigde invulling van de EDIB en zal zich tijdens de
onderhandelingen inzetten voor een duidelijk coördinatiemechanisme om te borgen dat
het toezicht bijdraagt aan de versterking van de interne markt.

c) Eerste inschatting van krachtenveld

De meerderheid van lidstaten verwelkomt naar verwachting dat de Commissie met dit
voorstel wetgeving wil versimpelen en regeldruk wil verlagen. Een deel van de lidstaten
zal daarbij naar verwachting ook de kanttekening maken dat de doelen van de wetgeving
en bescherming van fundamentele rechten overeind blijven. Ook zal een meerderheid
van de lidstaten naar verwachting zorgen hebben over de oprichting van een Europees
meldpunt.

De positie van het Europees Parlement is nog niet bekend. Het is nog niet bekend in
welk comité het voorstel wordt behandeld en wie de rapporteur voor het voorstel is.

4. Beoordeling bevoegdheid, subsidiariteit en proportionaliteit

a) Bevoegdheid

Als onderdeel van de toets of de EU mag optreden conform de EU-verdragen toetst het
kabinet of de EU handelt binnen de grenzen van de bevoegdheden die haar door de lidstaten
in de EU-verdragen zijn toegedeeld om de daarin bepaalde doelstellingen te verwezenlijken.
Het oordeel van het kabinet inzake de bevoegdheidsgrondslag is positief. Het voorstel
voor een Omnibus Digitaal is gebaseerd op de artikelen 16 en 114 VWEU en het voorstel
voor een Omnibus AI is gebaseerd op artikel 114 VWEU. Artikel 16 VWEU geeft de EU
de bevoegdheid voorschriften vast te stellen inzake de bescherming van natuurlijke
personen ten aanzien van de verwerking van persoonsgegevens door de instellingen,
organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van
activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede
de voorschriften betreffende het vrij verkeer van die gegevens. Artikel 114 VWEU geeft
de EU de bevoegdheid maatregelen vast te stellen inzake de onderlinge aanpassing van
de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die de instelling
en de werking van de interne markt betreffen. Het kabinet kan zich vinden in deze
rechtsgrondslagen. Voor zover het gaat om de verwerking van persoonsgegevens geldt
dat er sprake is van een gedeelde bevoegdheid tussen de EU en de lidstaten op grond
van artikel 4, eerste lid, VWEU. Op grond van artikel 4, tweede lid, onder a, VWEU
hebben de EU en de lidstaten een gedeelde bevoegdheid op het gebied van de interne
markt.

b) Subsidiariteit

Als onderdeel van de toets of de EU mag optreden conform de EU-verdragen toetst het
kabinet de subsidiariteit van het optreden van de Commissie. Dit houdt in dat het
kabinet op de gebieden die niet onder de exclusieve bevoegdheid van de Unie vallen
of wanneer sprake is van een voorstel dat gezien zijn aard enkel door de EU kan worden
uitgeoefend, toetst of het overwegen optreden niet voldoende door de lidstaten op
centraal, regionaal of lokaal niveau kan worden verwezenlijkt, maar vanwege de omvang
of de gevolgen van het overwogen optreden beter door de Unie kan worden bereikt (het
subsidiariteitsbeginsel).

Het oordeel van het kabinet is positief, met een kanttekening. Het doel van de voorstellen
is het verlagen van regeldruk. Gezien de onderwerpen data, AI en digitale diensten
grensoverschrijdend van aard zijn, kan dit onvoldoende door de lidstaten op centraal,
regionaal of lokaal niveau worden verwezenlijkt, daarom is een EU-aanpak nodig. Door
duidelijkere en simpelere regels wordt het gelijk speelveld op het terrein van data,
AI en digitale diensten bovendien verbeterd. Daarnaast kan aanpassing van EU-wetgeving
alleen op EU-niveau plaatsvinden. Om die redenen is optreden op het niveau van de
EU gerechtvaardigd.

Alhoewel het optreden op EU-niveau voor het verlagen van regeldruk in het algemeen
gerechtvaardigd is, heeft het kabinet specifiek over het voorstel in de Omnibus Digitaal
om een Europees meldpunt in te richten wel zorgen over de subsidiariteit. Het specifieke
doel van versimpelen en stroomlijnen van de verschillende meldplichten uit (cyber)wetgeving
kan voor een groot deel ook zonder dit vergaande middel bereikt worden en ook op nationaal
niveau door lidstaten worden opgelost. Zo zal de grootste groep entiteiten onder de
CER- en de NIS2-richtlijn niet grensoverschrijdend opereren. Deze partijen hebben
voldoende aan het simplificeren van rapportageverplichtingen en een meldpunt op nationaal
niveau. Bovendien wordt er door lidstaten in diverse Europese expertgroepen, waaronder
de NIS Cooperation Group, reeds samengewerkt om dit doel te bereiken.

c) Proportionaliteit

Als onderdeel van de toets of de EU mag optreden conform de EU-verdragen toetst het
kabinet of de inhoud en vorm van het optreden van de Unie niet verder gaan dan wat
nodig is om de doelstellingen van de EU-verdragen te verwezenlijken (het proportionaliteitsbeginsel).
Het oordeel van het kabinet over de proportionaliteit is positief, met twee kanttekeningen.
Het doel van de voorstellen is het verlagen van regeldruk. Veel van de voorgestelde
wetswijzigingen betreffen verduidelijkingen en versimpelingen van bestaande EU-wetgeving.
In die gevallen lijkt het voorgestelde optreden geschikt om deze doelstelling te bereiken,
omdat deze aanpassingen zorgen dat Europese regelgeving duidelijker wordt of tot minder
verplichtingen leiden. Bovendien lijkt het voorgestelde optreden niet verder te gaan
dan noodzakelijk, omdat de aanpassingen geen afbreuk doen aan de beoogde doelen en
werking van de wetgeving. Zo worden de eisen waar databemiddelingsdiensten aan moeten
voldoen om te worden gecertificeerd versimpeld, zonder dat daarmee afbreuk wordt gedaan
aan de betrouwbaarheid van gecertificeerde databemiddelingsdiensten.

De eerste kanttekening is dat er ook voorgestelde wijzigingen zijn die volgens het
kabinet niet proportioneel lijken. Sommige wijzigingen aan de AVG lijken verder te
gaan dan noodzakelijk omdat de wijzigingen afbreuk doen aan respectievelijk gegevensbescherming
en onvoldoende duidelijk is in hoeverre deze voorstellen effectief regeldruk verlagen.
Het kabinet zal opheldering vragen bij de Commissie en de gevolgen voor regeldruk,
uitvoerbaarheid en bescherming van grondrechten verder in kaart te brengen voordat
het tot een definitief oordeel komt op deze onderdelen. Het kabinet hecht eraan dat
er in het bijzonder voor wijzigingen met impact op gegevensbescherming en fundamentele
rechten gelegenheid is om de voorstellen en de gevolgen daarvan gedegen te analyseren
en deze inhoudelijk te bespreken.

De tweede kanttekening is dat het kabinet zorgen heeft ten aanzien van de inrichting
van een Europees meldpunt. Volgens het kabinet is door de Commissie onvoldoende inzichtelijk
gemaakt of een Europees meldpunt daadwerkelijk zal zorgen voor lastenverlichting en
simplificatie, in het bijzonder waar het gaat om niet-grensoverschrijdende entiteiten.
Ook is onvoldoende duidelijk wat de omvang is van de groep entiteiten die wel voordeel
zouden kunnen hebben bij een Europees meldpunt, namelijk de grensoverschrijdende entiteiten
en/of (grensoverschrijdende) entiteiten die rapportageverplichtingen hebben die onder
meerdere wetgevingskaders vallen, bijvoorbeeld AVG én NIS2-richtlijn. Om die reden
heeft het kabinet twijfels over de geschiktheid van deze maatregel in het licht van
het doel om regeldruk te verlagen.

5. Financiële consequenties, gevolgen voor regeldruk, concurrentiekracht en geopolitieke
aspecten

a) Consequenties EU-begroting

Voor het uitvoeren van de nieuwe taken op basis van de Omnibus AI heeft de AI Office
53 FTEs nodig. 15 FTE kan worden geheralloceerd binnen het AI Office. Het AI Office
zal dus 38 extra FTE nodig hebben. Het kabinet is van mening dat eventuele benodigde
middelen gevonden dienen te worden binnen de in de Raad afgesproken financiële kaders
van de EU-begroting 2021–2027 en dat deze moeten passen bij een prudente ontwikkeling
van de jaarbegroting. Het kabinet wil bovendien niet vooruit lopen op de integrale
afweging van middelen na 2027. Daarnaast moet de ontwikkeling van de administratieve
uitgaven in lijn zijn met de ER-conclusies van juli 2020 over het MFK-akkoord.

b) Financiële consequenties (incl. personele) voor Rijksoverheid en/of medeoverheden

Het voorstel zal implicaties hebben voor het toezicht op verschillende Europese regelgeving,
dat nationaal is ingericht. Naar verwachting kunnen die taken worden ondergebracht
bij de toezichthouders die nu al op deze Europese regelgeving toezien. Daarbij wordt
gezocht naar de meest doeltreffende en doelmatige oplossing. Of de aanpassingen de
kosten voor het toezicht en de handhaving zullen verhogen of verlagen is nog niet
duidelijk. Het voorstel bevat ook enkele bepalingen die de AVG wijzigen en er mogelijk
voor zullen zorgen dat er meer meldingen ontstaan bij de toezichthoudende autoriteit
en de rechtspraak. Het kabinet verwacht niet dat er een omvangrijke verhoging in kosten
van toezicht en handhaving zal zijn. Het versimpelen van de regels kan ook handhaving
en toezicht vergemakkelijken. Het kabinet zal dit verder onderzoeken en opheldering
vragen bij de Commissie. De budgettaire gevolgen voor de Rijksbegroting worden ingepast
op de begroting van de beleidsverantwoordelijke departementen, conform de regels van
de budgetdiscipline. Daarbij dient ook rekening gehouden te worden met medeoverheden.

c) Financiële consequenties en gevolgen voor regeldruk voor bedrijfsleven en burger

Alhoewel er geen impact assessment is verricht geeft de Commissie in de voorstellen
wel inschattingen van de verwachte lastenverlichting. Voor de Omnibus AI schat de
Commissie dat het voorstel van € 297 tot € 433 miljoen aan lastenverlichting voor bedrijven in de EU zal opleveren. De Commissie verwacht
dat het mkb en SMCs verhoudingsgewijs meer zullen profiteren van de lastenverlichting.

Voor de Omnibus Digitaal schat de Commissie dat het voorstel jaarlijks € 1 miljard
aan lastenverlichting zal opleveren in de EU. Daarnaast verwacht de Commissie dat
het voorstel eenmalig € 1 miljard aan lastenverlichting zal opleveren. Hoe deze inschattingen
zich precies vertalen naar de Nederlandse situatie is niet bekend.

d) Gevolgen voor concurrentiekracht en geopolitieke aspecten

De voorstellen komen voort uit het bredere plan om het concurrentievermogen van de
EU te versterken, zoals uiteengezet door Commissievoorzitter Von der Leyen in haar
politieke richtsnoeren voor de zittingsperiode 2024–2029 en het rapport «The Future
of European Competitiveness» van Mario Draghi. De Commissie geeft aan, dat zoals benadrukt
in het Draghi-rapport, de opeenstapeling van regels soms een negatief effect heeft
gehad op het concurrentievermogen. Door de regeldruk van digitale regelgeving te verlagen
zouden de voorstellen de concurrentiekracht moeten versterken. In het kader van toenemende
internationale spanningen en geopolitieke onzekerheid, draagt het versterken van de
concurrentiepositie bij aan de strategische positie van de EU. Ook derde landen kunnen
profijt hebben van de vereenvoudigingsvoorstellen, aangezien deze van toepassing zijn
op alle bedrijven die op de EU markt opereren, dus ook op niet-Europese bedrijven.
Voor bepaalde onderdelen van de omnibussen heeft het kabinet echter vragen in hoeverre
deze effectief de regeldruk verlagen.

Het voorstel voor de Omnibus Digitaal bevat maatregelen om te voorkomen dat bedrijfsgeheimen
onder de Dataverordening onrechtmatig worden verkregen door of gedeeld met derde landen.
Dit kan bijdragen aan het versterken van de open strategische autonomie van de EU.

6. Implicaties juridisch

a) Consequenties voor nationale en decentrale regelgeving en/of sanctionering beleid
(inclusief toepassing van de lex silencio positivo)

De Omnibus Digitaal beoogt regeldruk van digitale regelgeving te verlagen. Ten eerste
is het voorstel om de (deels aangepaste) regels uit de FFoD, DGA en de ODR op te nemen
in de Dataverordening. Andere bestaande Europese regelgeving (geïmplementeerd in verscheidene
Nederlandse regelgeving) over het gebruik van data blijft grotendeels onverminderd
van kracht: artikel 1, vijfde, achtste en negende lid, van de Dataverordening bepaalt
dat de verordening geen afbreuk doet aan de AVG, de bescherming van intellectuele
eigendomsrechten en de bescherming van consumenten.

Artikel 37, eerste lid, van de Dataverordening bepaalt reeds dat een of meerdere bevoegde
autoriteiten moeten worden aangewezen voor de uitvoering van handhaving van de verordening.
Bij deze autoriteit(en) wordt een aantal taken belegd zoals klachtenafhandeling. De
Dataverordening bepaalt expliciet dat voor zover het gaat om toezicht op de bescherming
van persoonsgegevens de AVG-toezichthouder de bevoegde autoriteit is (in Nederland
de Autoriteit Persoonsgegevens). Indien de Dataverordening wordt overtreden dan dienen
de bevoegde autoriteiten sancties op te leggen. Artikel 40 van de Dataverordening
bepaalt dat de sancties doeltreffend, evenredig, en afschrikkend moeten zijn. De Omnibus
Digitaal wijzigt deze bepalingen niet, maar doordat de reikwijdte van de verordening
wordt vergroot valt er wel meer regelgeving onder het takenpakket van de bevoegde
autoriteiten en moeten meer sancties worden vastgesteld. Voor de huidige Europese
regelgeving is dit reeds vastgesteld in de recent in werking getreden Uitvoeringswet
dataverordening en de Uitvoeringswet datagovernanceverordening. De voorgestelde wijzigingen
uit de Omnibus Digitaal betekenen dat de Uitvoeringswet datagovernanceverordening
moet worden ingetrokken en de bepalingen worden opgenomen in de Uitvoeringswet dataverordening.
Op grond van de FFoD en de ODR hoeven geen bevoegde autoriteiten aangewezen te worden
en sancties te worden vastgesteld, maar door de bepalingen op te nemen in de Dataverordening
lijkt dit wel te moeten. Aangezien het gaat om toezicht op overheden is dit onwenselijk.
Doordat wordt voorgesteld om van de ODR een verordening te maken zal moeten worden
bestudeerd in hoeverre, gelet op het overschrijfverbod, regels uit de Wet hergebruik
overheidsinformatiemoeten vervallen.

Ten tweede wijzigt de Omnibus Digitaal Europese privacy regelgeving waaronder de AVG
en de e-privacy richtlijn. De voorstellen leiden mogelijk tot wijziging van Nederlandse
regelgeving. Dit zal nader worden onderzocht.

Ten derde wijzigt de Omnibus Digitaal Europese regelgeving in verband met het op richten
van een Europees centraal meldpunt: NIS2 richtlijn, eIDAS verordening, AVG, DORA en
CEP. Of de genoemde voorstellen tot wijzigingen zullen leiden binnen Nederlandse regelgeving
blijft vooralsnog onduidelijk, en dient aldus nader te worden onderzocht.

Ten vierde wordt door de Omnibus Digitaal de P2B-verordening gefaseerd ingetrokken.
Dit heeft tot gevolg dat de Wet publiek toezicht en handhaving verordening bevordering
billijkheid en transparantie voor zakelijke gebruikers van onlinetussenhandelsdiensten
moet worden aangepast en op termijn moet worden ingetrokken. In Boek 3 van het Burgerlijk
Wetboek en het Wetboek van Burgerlijke Rechtsvordering zijn bepalingen opgenomen ter
uitvoering van de regels uit de P2B verordening inzake collectieve acties. Deze bepalingen
moeten ook worden geschrapt.

De Omnibus AI wijzigt de AI-verordening. Op dit moment heeft het kabinet een wetsvoorstel
ter uitvoering van de AI verordening in voorbereiding. De voor de wijzigingen uit
de Omnibus AI benodigde aanpassingen zullen, zodra de Omnibus AI in werking is getreden,
in de nationale uitvoeringswetgeving moeten worden verwerkt. De inschatting is dat
de benodigde aanpassingen beperkt van aard zullen zijn.

b) Gedelegeerde en/of uitvoeringshandelingen, incl. NL-beoordeling daarvan

In de Omnibus Digitaal worden diverse delegatiebevoegdheden aan de Commissie toegekend,
die inhoudelijk overeenkomen met bevoegdheden die de Commissie al heeft op grond van
de DGA en de ODR. In artikel 1, lid 18, van het voorstel (voorgestelde artikel 32u,
tweede lid, van de Dataverordening) is een delegatiebevoegdheid opgenomen om in bijlage
I nieuwe thematische categorieën van hoogwaardige datasets toe te voegen. Daarmee
kan de scope van de regels rondom hoogwaardige datasets worden uitgebreid. Deze bevoegdheid
komt inhoudelijk overeen met de bevoegdheid in artikel 13 van de ODR. Van deze bevoegdheid
heeft de Commissie tot op heden nog geen gebruik gemaakt. Daarnaast bevat artikel
1, lid 18, van het voorstel (het voorgestelde artikel 32x, zevende lid, van de Dataverordening)
een delegatiebevoegdheid voor de vaststelling van bijzondere voorwaarden voor de doorgifte
van bepaalde niet-persoonsgebonden gegevens aan derde landen. Het doel van deze bevoegdheid
is om beleidsdoelstellingen van de Unie, zoals volksgezondheid en veiligheid, te beschermen
en het risico op heridentificatie te beperken. Deze bevoegdheid komt inhoudelijk overeen
met de bevoegdheid in artikel 5, dertiende lid, van de DGA. Van deze bevoegdheid heeft
de Commissie tot op heden ook nog geen gebruik gemaakt.

Het toekennen van deze bevoegdheden is mogelijk, omdat het geen essentiële onderdelen
van de basishandeling betreft. Toekenning van deze bevoegdheden acht het kabinet wenselijk,
vanwege de behoefte aan flexibiliteit, het niet hoeven te belasten van wetgevingsprocedure
en, in het geval van de bevoegdheid om bijzondere voorwaarden voor doorgifte vast
te stellen, ook snelheid. Delegatie i.p.v. uitvoering ligt hier voor de hand omdat
het gaat om het aanvullen van de basishandeling. Het kabinet acht deze bevoegdheid
voldoende afgebakend. Bovendien ligt het in de rede om deze, inhoudelijk reeds bestaande,
bevoegdheden in stand te houden bij het opnemen van de betreffende onderdelen van
de ODR en DGA in de Dataverordening.

Aandachtspunt is dat in artikel 1, lid 24, van het voorstel (voorgestelde artikel
45 van de Dataverordening) de bepaling over de uitoefening van de bevoegdheidsdelegatie
wordt gewijzigd, maar een verwijzing naar het voorgestelde artikel 32x, zevende lid,
van de Dataverordening ontbreekt.

In de Omnibus Digitaal zijn verder ook uitvoeringsbevoegdheden voor de Commissie opgenomen.
De voorgestelde bevoegdheden voor in de Dataverordening komen inhoudelijk overeen
met de bevoegdheden die de Commissie al heeft op grond van de DGA en de ODR. In de
eerste plaats is in artikel 1, lid 18, van het voorstel (beoogde artikel 32a, vierde
lid, van de Dataverordening) een uitvoeringsbevoegdheid voor de Commissie opgenomen
tot vaststelling van een gemeenschappelijk logo voor databemiddelingsdiensten en data
altruïstische organisaties. Deze bevoegdheid komt inhoudelijk overeen met de bevoegdheid
in de artikelen 11, negende lid, en 17, tweede lid, van de DGA. In de tweede plaats
is in artikel 1, lid 18, van het voorstel (beoogde artikel 32v, eerste lid, van de
Dataverordening) een uitvoeringsbevoegdheid voor de Commissie opgenomen voor het vastleggen
lijst van specifieke hoogwaardige datasets die behoren tot de in bijlage I vermelde
categorieën. Deze bevoegdheid komt inhoudelijk overeen met de bevoegdheid in artikel
14, eerste lid, van de ODR. In de derde plaats is in artikel 1, lid 18, van het voorstel
(het beoogde artikel 32x, derde lid, van de Dataverordening) een uitvoeringsbevoegdheid
voor de Commissie opgenomen voor de vaststelling van modelcontractbepalingen. Deze
bevoegdheid komt inhoudelijk overeen met eenzelfde bevoegdheid die op dit moment is
geregeld in artikel 5, elfde lid, van de DGA. In de vierde plaats is in artikel 1,
lid 18, van het voorstel (beoogde artikel 32x, vijfde lid, van de Dataverordening)
een uitvoeringsbevoegdheid voor de Commissie opgenomen met betrekking tot de juridische,
toezichts- en handhavingsregelingen van een derde land. Deze bevoegdheid komt inhoudelijk
overeen met eenzelfde bevoegdheid die op dit moment is geregeld in artikel 5, twaalfde
lid, van de DGA.

Het kabinet staat positief tegenover deze uitvoeringsbevoegdheden. Het toekennen van
deze bevoegdheden is mogelijk, omdat het niet essentiële onderdelen van de basishandeling
betreft. Toekenning van deze bevoegdheden acht het kabinet wenselijk, vanwege de behoefte
aan flexibiliteit, snelheid en het niet hoeven te belasten van wetgevingsprocedure.
De keuze voor uitvoering i.p.v. delegatie ligt hier voor de hand omdat het gaat om
uitvoering van de betreffende verordening volgens eenvormige voorwaarden. De uitvoeringsverordening
ter vaststelling van het gemeenschappelijk logo wordt vastgesteld volgens de raaplegingsprocedure
als bedoeld in artikel 4 van verordening 182/2011. Volgens het kabinet is dat op zijn
plaats. Het gemeenschappelijk logo betreft een uitvoeringshandeling van algemene strekking
in de zin van artikel 2, tweede lid onder a van verordening 182/2011. Dan is volgens
artikel 2, lid 2 van verordening 182/2011 in de regel de onderzoeksprocedure van toepassing.
Uit artikel 2, lid 3 van verordening 182/2011 blijkt dat de raadplegingsprocedure
echter ook van toepassing kan zijn in dergelijke situaties. Volgens het kabinet is
de raadplegingsprocedure hier op zijn plaats, omdat het gemeenschappelijk logo in
zijn huidige vorm reeds bestaat, en reeds is vastgelegd in een andere uitvoeringshandeling.
Het in wezen verplaatsen van dezelfde bepalingen behoeft volgens het kabinet niet
volgens de onderzoeksprocedure te geschieden.

De Omnibus Digitaal bevat verder bevoegdheden voor de Commissie om een aantal uitvoeringshandelingen
vast te stellen op grond van de AVG, specifiek in artikel 3, lid 8 sub c van het voorstel,
artikel 3, lid 9, sub b van het voorstel en artikel 3, lid 10 van het voorstel. Op
grond van artikel 3, lid 8, sub c, van het voorstel wordt lid 6 toegevoegd aan artikel
33 van de AVG. Dit betreft een uitvoeringsbevoegdheid voor de Commissie om de standaarden
voor datalekmeldingen en omschrijving van hoog risico gevallen voor datalekken vast
te stellen. In artikel 3, lid 9, sub b, van het voorstel wordt lid 6a toegevoegd aan
artikel 35. Dit betreft de bevoegdheid voor de Commissie om uitvoeringshandelingen
vast te stellen die zien op lijsten van gevallen waarin DPIA’s wel of niet verplicht
zijn. In artikel 3, lid 10 van het voorstel wordt een nieuw artikel 41a toegevoegd
aan de AVG. Dit betreft een bevoegdheid voor de Commissie om uitvoeringshandelingen
vast te stellen om criteria en middelen te omschrijven om zo te bepalen wanneer er
geen sprake meer is van persoonsgegevens in geval van pseudonimisering.

Het toekennen van de bevoegdheden in artikel 3, lid 8 sub c en artikel 3, lid 9, sub
d van het voorstellen is wel mogelijk, omdat het geen essentiële onderdelen van de
basishandeling betreft. Toekenning van bevoegdheden om dit op het niveau van lagere
regelgeving te regelen in plaats van in de basishandeling kan wenselijk zijn, gelet
op de noodzaak tot flexibiliteit en snelheid bij het vaststellen van deze standaarden.
Wel geldt, zoals eerder aangegeven in onderdeel 3b van het fiche, dat vanuit beleidsmatig
perspectief het kabinet van mening is dat deze bevoegdheden reeds adequaat zijn belegd
bij het Europees comité voor gegevensbescherming.

De keuze voor uitvoering i.p.v. delegatie ligt verder voor de hand, doordat het de
uitvoering van de AVG volgens eenvormige voorwaarden zou betreffen. De uitvoeringshandelingen
worden vastgesteld volgens de onderzoeksprocedure als bedoeld in artikel 5 van verordening
182/2011. Toepassing van deze procedure is hier volgens het kabinet wel op zijn plaats
omdat het gaat om uitvoeringshandelingen van algemene strekking als bedoeld in artikel
2 van verordening 182/2011. Desondanks geldt dat het kabinet beleidsmatig in het algemeen
geen voorstander van deze nieuwe bevoegdheden is, zoals reeds aangegeven in onderdeel
3b van dit fiche, nu de verschuiving van deze bevoegdheden van de EDPB en de onafhankelijke
toezichthouders naar de Commissie zou leiden tot het risico van meer politieke besluitvorming
met betrekking tot grondrechtenbescherming zonder grotere rechtszekerheid.

Het toekennen van de bevoegdheid van artikel 3, lid 10 van het voorstel is niet mogelijk.
Omdat deze uitvoeringshandelingen die de Commissie op basis van dit artikel zou kunnen
vaststellen betrekking hebben op de definitie van persoonsgegevens (artikel 41a),
betreft dit een essentieel onderdeel van de basishandeling, dat zich niet leent voor
uitwerking in uitvoeringshandelingen. Dergelijke uitvoeringshandelingen zouden immers
mogelijk betrekking hebben op de reikwijdte van het grondrecht op bescherming van
persoonsgegevens. De AVG is immers een uitwerking van het recht op gegevensbescherming.
Weliswaar kunnen grondrechten worden ingeperkt, maar niet via een uitvoeringshandeling,
nu dergelijke beperkingen essentiële onderdelen van de basishandeling betreffen. Toekenning
van deze bevoegdheden acht het kabinet in dat kader eveneens niet wenselijk, en de
keuze voor uitvoering ligt dan ook niet voor de hand. De uitvoeringshandelingen worden
vastgesteld volgens de procedure voor onmiddellijk toepasselijke uitvoeringshandelingen
als bedoeld in artikel 8 van verordening 182/2011 in samenhang gelezen met de onderzoeksprocedure
als bedoeld in artikel 5 van die verordening. Toepassing van deze procedure is hier
volgens het kabinet niet op zijn plaats omdat geen sprake is van naar behoren gemotiveerde
redenen van urgentie. Het kabinet is bovendien beleidsmatig geen voorstander van deze
nieuwe bevoegdheden voor de Commissie, zoals reeds aangegeven in onderdeel 3b van
dit fiche.

Ook kan de Commissie op grond van artikel 9, lid 2, van het Omnibus Digitaal-voorstel
(het voorgestelde artikel 15(2) CER) een uitvoeringshandeling vaststellen waarin het
type en de vorm van de overeenkomstig het eerste lid gemelde informatie nader worden
gespecificeerd. Het gaat om informatie over incidenten die de levering van essentiële
diensten aanzienlijk verstoren of het potentieel hebben om deze aanzienlijk te verstoren,
waarvan kritieke entiteiten via het Europees meldpunt de bevoegde autoriteit onverwijld
in kennis stellen. Het toekennen van deze bevoegdheid is wel mogelijk, omdat het niet
essentiële onderdelen van de basishandeling betreft. Toekenning van deze bevoegdheid
acht het kabinet wenselijk, vanwege de behoefte aan flexibiliteit, snelheid en het
niet hoeven te belasten van wetgevingsprocedure. De keuze voor uitvoering i.p.v. delegatie
ligt hier voor de hand omdat het gaat om uitvoering van de verordening volgens eenvormige
voorwaarden. De uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure
als bedoeld in artikel 5 van verordening 182/2011. Toepassing van deze procedure is
hier volgens het kabinet wel op zijn plaats omdat er sprake is van uitvoeringshandelingen
van algemene strekking (artikel 2, onder 2, van verordening 182/2011).

De Commissie krijgt in artikel 1, lid 12, van het Omnibus AI-voorstel (wijziging artikel
30, lid 2, AI-verordening) de bevoegdheid om door middel van gedelegeerde handelingen
wijzigingen aan te brengen in bijlage XIV bij de verordening, waarin codes en categorieën
zijn opgenomen die moeten worden gebruikt bij het aanmelden door de lidstaten van
conformiteitsbeoordelingsinstanties. Het toekennen van deze bevoegdheid is mogelijk,
omdat het geen essentiële onderdeel van de basishandeling betreft. Toekenning van
deze bevoegdheid acht het kabinet wenselijk, omdat er op deze wijze snel en flexibel
kan worden ingespeeld op technologische ontwikkelingen op het gebied van AI zonder
de wetgevingsprocedure te hoeven belasten. Het kabinet kan zich vinden in de keuze
voor gedelegeerde handelingen, omdat het een bevoegdheid betreft om de basishandeling
te wijzigen. De gedelegeerde handelingen worden overeenkomstig artikel 97 van de verordening
uitgeoefend. Het kabinet kan zich vinden in de daarin opgenomen mogelijkheden van
controle op de bevoegdheidsdelegatie, waaronder de toekenning voor bepaalde tijd met
de mogelijkheid van stilzwijgende verlenging. De Omnibus AI voorziet echter niet in
wijziging van artikel 97 van de AI-verordening, waardoor niet duidelijk is of dat
artikel volledig van toepassing zal zijn op de bevoegdheid om gedelegeerde handelingen
op te stellen op grond van artikel 30, lid 2, AI-verordening. Het kabinet zal in de
onderhandelingen aandringen op het herstellen van deze omissie in het voorstel.

In de Omnibus AI zijn ook uitvoeringsbevoegdheden voor de Commissie opgenomen. De
Commissie krijgt in artikel 1, lid 18, van het voorstel (wijziging artikel 58, lid
1, AI-verordening) ook de bevoegdheid om uitvoeringshandelingen vast te stellen waarmee
gemeenschappelijke beginselen kunnen worden vastgesteld met betrekking tot gedetailleerde
regels met betrekking tot de uitvoering van de AI-testomgeving voor de regelgeving.
Het toekennen van deze bevoegdheid is mogelijk, omdat het geen essentiële onderdelen
van de basishandeling betreft. Toekenning van deze bevoegdheid acht het kabinet wenselijk,
omdat er op deze wijze snel en flexibel kan worden ingespeeld op technologische ontwikkelingen
op het gebied van AI en veranderende inzichten en wensen met betrekking tot de AI-testomgeving
voor de regelgeving, zonder de wetgevingsprocedure te hoeven belasten. Het kabinet
kan zich vinden in de keuze voor uitvoering (in plaats van delegatie), omdat het hier
gaat om uitvoering van de verordening volgens eenvormige voorwaarden. Ook kan het
kabinet zich vinden in de keuze voor de onderzoeksprocedure, omdat het voor de voorgestelde
bevoegdheid tot het vaststellen van uitvoeringshandelingen in artikel 1, lid 18, van
het voorstel gaat om handelingen van algemene strekking in de zin van artikel 2, lid
2, sub a, van verordening 182/2011.

Tot slot krijgt de Commissie in artikel 1, lid 25, sub c, van het voorstel de bevoegdheid
om uitvoeringshandelingen vast te stellen waarin handhavingsbevoegdheden van de Commissie
worden bepaald, waaronder het opleggen van boetes en andere sancties (wijziging van
artikel 75 van de AI-verordening). Deze handhavingsbevoegdheden gelden voor de categorieën
van AI-systemen ten aanzien waarvan de Commissie in plaats van de lidstaten bevoegd
zal zijn voor het markttoezicht, namelijk AI-systemen die zijn gebaseerd op AI-modellen
voor algemene doeleinden en AI-systemen die onderdeel zijn van een zeer groot online
platform of zeer groot online zoekmachine in de zin van de digitale dienstenverordening.
Het toekennen van deze bevoegdheid om handhavingsbevoegdheden vast te stellen is naar
het oordeel van het kabinet niet mogelijk. Het toekennen van handhavingsbevoegdheden
en sancties, waaronder bestraffende sancties als een boete, behoort tot de essentiële
onderdelen van de basishandeling om de volgende redenen. Het bepalen van welke sancties
van toepassing zijn op een overtreding van de verordening vergt een politieke afweging.
Bij het opleggen van sancties kan bovendien sprake zijn van inmenging in grondrechten,
zoals het recht op eigendom. Tot slot is een boete een punitieve sanctie, die altijd
regeling in de basishandeling behoeft. Ter ondersteuning van dit standpunt kan nog
worden genoemd dat de handhavingsbevoegdheden van de Commissie ten aanzien van AI-modellen
voor algemene doeleinden, een andere categorie onder de AI-verordening ten aanzien
waarvan de Commissie bevoegd is voor markttoezicht, wel in de verordening zelf zijn
opgenomen (zie de artikelen 88 tot en met 94 en 101 van de AI-verordening). De inzet
van het kabinet is om de handhavingsbevoegdheden voor de categorieën «AI-systemen
die zijn gebaseerd op AI-modellen voor algemene doeleinden» en «AI-systemen die onderdeel
zijn van een zeer groot online platform of zeer groot online zoekmachine» ook in de
verordening op te nemen en de grondslag voor het opstellen van uitvoeringshandelingen
te schrappen. Als de grondslag voor het stellen van uitvoeringshandelingen er desondanks
komt, dan acht het kabinet de toekenning van deze bevoegdheden ook niet wenselijk,
omdat de belangrijke voordelen van het stellen van regels in uitvoeringshandelingen,
zoals flexibiliteit en snelheid, niet aan de orde zijn bij het toekennen van handhavingsbevoegdheden.
De keuze voor uitvoering i.p.v. delegatie ligt hier bovendien niet voor de hand omdat
het gaat om het aanvullen van de basishandeling met handhavingsbevoegdheden van de
Commissie (artikel 290 VWEU). In het voorstel wordt niet verwezen naar een comitéprocedure,
hetgeen erop duidt dat hier een zelfstandige uitvoeringshandeling wordt voorgesteld,
waarbij de lidstaten geen rol (controlemogelijkheden) hebben en wordt afgeweken van
de procedures uit de Comitologieverordening. Het kabinet is om die redenen geen voorstander
van het toekennen van een zelfstandige uitvoeringsbevoegdheid aan de Commissie. Bovendien
acht het kabinet het toekennen van handhavingsbevoegdheden aan de Commissie waarbij
een evenwicht moet worden gevonden tussen de uiteenlopende belangen die aan de orde
zijn niet acceptabel.

c) Voorgestelde implementatietermijn (bij richtlijnen), dan wel voorgestelde datum
inwerkingtreding (bij verordeningen en besluiten) met commentaar t.a.v. haalbaarheid

De Omnibus Digitaal treedt grotendeels in werking op de derde dag na publicatie van
de Omnibus Digitaal. Er zijn een aantal uitzonderingen. Een aantal wijzigingen in
de regels over de verwerking van persoonsgegevens in eindapparatuur treedt pas na
inwerkingtreding van de Omnibus Digitaal in werking: het nieuwe artikel 88a AVG 6 maanden
later; het nieuwe artikel 88b, eerste en tweede lid, AVG 2 jaar later en het zesde
lid 4 jaar later; artikel 37, nieuwe zevende tot en met negende lid, van Verordening
(EU) 2018/1725 2 jaar later en artikel 5, derde lid, nieuwe subparagraaf, ePrivacy
richtlijn 6 maanden na publicatie van de Omnibus Digitaal. De bepalingen over het
Europees meldpunt treden 18 maanden na inwerkingtreding van de verordening in werking,
tenzij de Commissie in haar verslag overeenkomstig het voorgestelde artikel 23a, zevende
lid, NIS2 richtlijn, vaststelt dat het Europees meldpunt de goede werking, betrouwbaarheid,
integriteit of vertrouwelijkheid niet waarborgt, dan treden die bepalingen in werking
24 maanden na inwerkingtreding van deze verordening. Omwille van de rechtszekerheid
blijven een aantal artikelen uit de P2B verordening van toepassing tot en met 31 december
2032 omdat andere Europese regelgeving daarnaar verwijst.

De voorgestelde datum van inwerkingtreding is haalbaar doordat artikel 10(4) Omnibus
Digitaal bepaalt dat verwijzingen naar de DGA, FFoD en ODR gelezen worden als verwijzingen
naar de gewijzigde Dataverordening. Daardoor blijven de bepalingen in de Uitvoeringswet
datagovernanceverordening en de implementatie van de ODR in de Wet hergebruik van
overheidsinformatie gelden totdat deze wetgeving is aangepast. Aangezien een aantal
bepalingen uit de DGA en ODR zijn gewijzigd en nieuwe regels zijn toegevoegd kan dit
in de praktijk tot onduidelijkheden leiden. Daarom moet het wetsvoorstel voor de Omnibus
Digitaal voortvarend opgepakt worden.

De Omnibus AI treedt in werking op de derde dag na publicatie van de Omnibus AI. Naar
verwachting zal ter uitvoering van de wijzigingen van de AI verordening in beperkte
mate uitvoeringsbepalingen in nationaal recht nodig zijn. De voorgestelde datum van
inwerkingtreding is haalbaar als het uitvoeringswetsvoorstel voor de AI verordening,
dat nu in voorbereiding is, op het moment van inwerkingtreding van de Omnibus AI nog
niet is aangenomen door de Tweede Kamer en aangepast kan worden aan de Omnibus AI.

d) Wenselijkheid evaluatie-/horizonbepaling

De nieuwe hoofdstukken VIIa, VIIb en VIIc in de Dataverordening over databemiddelingsdiensten
en data-altruïstische organisaties, het verbod op datalocatievereisten en het hergebruik
van gegevens en documenten van openbare lichamen worden vijf jaar na inwerkingtreding
van de Omnibus Digitaal geëvalueerd. De overige onderdelen van de Omnibus Digitaal
gaan mee met de reguliere evaluatie van de betreffende Europese regelgeving. Zo wordt
de Dataverordening uiterlijk op 12 september 2028 geëvalueerd en de AVG in 2028. Dit
betekent dat de evaluatie van het Europees meldpunt versnipperd wordt geëvalueerd.
Dit laatste acht het kabinet onwenselijk.

De AI-verordening voorziet in verschillende evaluaties door de Europese Commissie,
te verrichten uiterlijk in 2028 of 2029. Hierbij kunnen ook de wijzigingen van de
AI-verordening door de Omnibus AI worden meegenomen. Dit acht het kabinet voldoende.

e) Constitutionele toets

De Commissie verwacht dat het voorstel voor de Omnibus AI geen gevolgen zal hebben
voor de bescherming van fundamentele rechten gezien het voorstel gerichte wijzigingen
bevat die de inhoudelijke eisen uit de AI-verordening niet materieel veranderen. Bij
de totstandkoming van de AI-verordening is een balans gevonden tussen het ontwikkelen
en gebruiken van AI en het beschermen van de grondrechten. Het kabinet vindt het belangrijk
dat deze balans ook na wijziging van de AI-verordening nog steeds goed is en zal daar – waar nodig – aandacht voor vragen.

De Commissie verwacht dat het voorstel voor de Omnibus Digitaal de innovatiekansen
voor bedrijven zal bevorderen en daarmee het vrijheid van ondernemerschap bevordert.
De Commissie geeft aan dat het voorstel impact heeft op het recht op privacy en het
recht op gegevensbescherming en acht deze proportioneel. Het kabinet ziet dat sommige
aanpassingen aan de AVG inderdaad een fundamentele impact hebben op het recht op privacy
en het recht op gegevensbescherming. Bij gebrek aan impact assessment en advies van
de EPDB en EDPS kan het kabinet de proportionaliteit ervan niet beoordelen Het kabinet
heeft zorgen bij de proportionaliteit bij een aantal van de voorstellen. De inperking
van de bevoegdheid voor overheden om data bij bedrijven op te vragen in situaties
van «uitzonderlijke noodzaak» tot alleen «algemene noodsituaties» acht het kabinet
een verbetering voor het recht op gegevensbescherming.

7. Implicaties voor uitvoering en/of handhaving

Uitvoerbaarheid:

De omnibussen bevatten gerichte wijzigingen van Europese regelgeving die in Nederland
al worden uitgevoerd en de AI-verordening, waar momenteel uitvoering aan wordt gegeven.
Het kabinet onderzoekt de gevolgen voor de uitvoering nog. Deze zullen naar verwachting
samenhangen met eventuele aanpassingen in de inrichting van de uitvoeringstaken bij
de betrokken uitvoeringsorganisaties. Het gaat daarbij om taken die eerder zijn toegekend
naar aanleiding van de Europese wetgeving die met deze Omnibus Digitaal wordt gewijzigd.
Het kabinet verwacht niet dat de voorstellen tot significante nieuwe uitdagingen met
betrekking tot de uitvoering van de onderliggende Europese wetten leidt omdat de voorstellen
beogen de wetgeving te versimpelen.

Handhaafbaarheid:

De omnibussen bevatten gerichte wijzigingen van Europese regelgeving die in Nederland
al worden gehandhaafd en de AI-verordening, waar momenteel uitvoering aan wordt gegeven.
Het kabinet onderzoekt de gevolgen voor de handhaafbaarheid nog, maar verwacht niet
dat de voorstellen tot significante nieuwe uitdagingen met betrekking tot de uitvoering
van de onderliggende Europese wetten leidt omdat de voorstellen beogen de wetgeving
te versimpelen.

8. Implicaties voor ontwikkelingslanden

Geen implicaties voor ontwikkelingslanden anders dan de genoemde consequenties voor
derde landen in het algemeen, zoals aangegeven in onderdeel 5d.