Home
Kamerstukken
Kamervragen

Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over o.a. Fiche: Omnibus AI en Omnibus Digitaal (Kamerstuk 22112-4223)

22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Nr. 4288
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 9 maart 2026

De vaste commissie voor Digitale Zaken heeft een aantal vragen en opmerkingen voorgelegd
aan de Staatssecretaris van Economische Zaken en Klimaat over de brief van 12 december
2025 inzake de brieven d.d. 12 december 2025 «Fiche: Omnibus AI en Omnibus Digitaal»
(Kamerstuk 22 112, nr. 4223) en d.d. 19 december 2025 «Fiche: Data Unie Strategie» (Kamerstuk 22 112, nr. 4227).

De vragen en opmerkingen zijn op 28 januari 2026 aan de Staatssecretaris van Economische
Zaken en Klimaat voorgelegd. Bij brief van 9 maart 2026 zijn de vragen beantwoord.

De fungerend voorzitter van de commissie, Kathmann

Adjunct-griffier van de commissie, Muller

Inleiding

Hierbij zend ik u mede namens de Minister van Justitie en Veiligheid, de Minister
van Binnenlandse Zaken en Koninkrijksrelaties en de Staatssecretaris van Justitie
en Veiligheid de antwoorden op de vragen van de vaste commissie voor Digitale Zaken
inzake de brieven d.d. 12 december 2025 «Fiche: Omnibus AI en Omnibus Digitaal» en
d.d. 19 december 2025 «Fiche: Data Unie Strategie» (Kamerstuk 22 112, nr. 4223, ingezonden 29 januari 2026). Tevens beantwoord ik middels deze brief het verzoek
om reactie op informatieafspraken over EU-voorstel Digitaal Pakket (Digitale Omnibus
en Omnibus AI) (2026D02184, ingezonden 22 januari 2026).

Met de meeste door u voorgestelde informatieafspraken kan ik instemmen. Ik streef
ernaar uw Kamer ondanks de hoge snelheid van de onderhandelingen zo goed mogelijk
over de voortgang van de onderhandelingen te informeren. Daarbij ben ik wel gebonden
aan de informatie-afspraken binnen de Raad en de vertrouwelijkheid van onderhandelingsstukken.

Langs deze weg zou ik willen voorstellen uw Kamer regulier te informeren over de voortgang
van de onderhandelingen via de geannoteerde agenda van de Telecomraad te laten lopen
in plaats van de geannoteerde agenda van de Raad Algemene Zaken (RAZ) en de kwartaalrapportages
over de stand van zaken rondom de behandeling van de Europese wetgevingsvoorstellen
op het terrein van EZK. De geannoteerde agenda voor de Telecomraad komt in tegenstelling
tot de geannoteerde agenda voor de RAZ ter behandeling terecht bij de vaste Kamercommissie
Digitale Zaken. Daarnaast laat de geannoteerde agenda voor de Telecomraad meer ruimte
voor inhoudelijke toelichting op de voortgang van de onderhandelingen dan de kwartaalrapportages
rondom Europese wetgevingsvoorstellen op het terrein van EZK.

In deze beantwoording informeer ik u conform de informatie-afspraken van substantiële
ontwikkelingen in de onderhandelingen sinds het verschijnen van de voorstellen.

Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon

De leden van de D66-fractie hebben met interesse kennisgenomen van het BNC fiche voor
de Omnibus AI en Omnibus Digitaal en het BNC fiche Data Unie Strategie. Deze leden
hebben enkele vragen over de inzet van het kabinet en enkele technische vragen met
betrekking tot de voorstellen.

Zij steunen de doelstelling van de Europese Commissie en het kabinet om regeldruk
te verminderen en regelgeving te vereenvoudigen. De leden van de D66-fractie vinden
dat dit daadwerkelijk en aantoonbaar moet leiden tot vermindering van regeldruk, en
daarbij ook aantoonbaar (digitale) grondrechten in stand moet houden. Deze leden delen
de inzet van het kabinet dat vereenvoudiging van de beleidsdoelstellingen van bestaande
wetgeving niet moet afzwakken en dat daar in meerdere gevallen bij de omnibussen wel
sprake van is. Zij vinden het onacceptabel om wetgeving te wijzigen met impact op
grondrechten zonder daarover de consequenties inzichtelijk te hebben. De leden van
de D66-fractie vragen of het kabinet het doen van een integrale impact assessment
voorwaardelijk maakt aan de steun voor de omnibus, en hoe het kabinet de positie van
de Autoriteit Persoonsgegevens beoordeelt ten aanzien van de wijzigingen in de Algemene
Verordening Gegevensbescherming (AVG).

Antwoord

In het algemeen past de omnibusaanpak van de Europese Commissie (EC) binnen de bredere
doelstelling van het kabinet om de regeldruk terug te dringen. Het kabinet vindt het
daarbij wel van belang dat bij ingrijpende inhoudelijke wijzigingen aan wetgeving
over grondrechten een impact assessment wordt uitgevoerd. Het kabinet ziet dat een
aantal aanpassingen aan de AVG een fundamentele impact kunnen hebben op grondrechten,
namelijk het recht op privacy en het recht op gegevensbescherming. Het ontbreken van
een impact assessment maakt het voor het kabinet lastig om de effecten van deze voorstellen
goed te beoordelen, zowel met betrekking tot de regeldrukverlagende effecten als de
impact op grondrechten en nationale bevoegdheden. Ook dient duidelijk te zijn welke
verdere maatschappelijke gevolgen de voorgestelde veranderingen van de AVG zullen
hebben, aangezien de AVG voor de hele samenleving en niet alleen in de relatie tussen
burgers en bedrijven geldt. Het kabinet zal de EC daarom blijven verzoeken om een
uitgebreide analyse van de impact van deze voorstellen te presenteren. Een formeel
impact assessment is echter niet de enige manier om deze inzet te waarborgen. Met
het oog op de beoordeling van de voorstellen hecht het kabinet tevens belang aan het
position paper van de Autoriteit Persoonsgegevens (AP),1 en in het bijzonder aan de gezamenlijke opinie die het Europees Comité voor gegevensbescherming
(EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) op 10 februari
2026 hebben vastgesteld en die door het kabinet momenteel wordt bestudeerd.2

Daarnaast heeft de EC haar voorstel nader toegelicht middels een Staff Working Document3 (SWD). Voorstellen met risico's voor grondrechten dienen, op basis van grondige analyse,
te worden behandeld op een wijze die recht doet aan de zorgpunten en in het bijzonder
de potentiële impact op grondrechten. De impact op grondrechten weegt voor het kabinet
zwaar in haar oordeel over dit voorstel.

Deze leden vragen daarbij hoe het kabinet aankijkt naar de positie van de Europese
Toezichthouder en het Comité voor Gegevensbescherming (EDPS) met betrekking tot het
strikt limiteren van de inzet van bijzondere persoonsgegevens. Deelt het kabinet deze
noodzaak en hoe beoordeelt het kabinet de aanbeveling om verwerking van gevoelige
data voor bias-detectie strikt te limiteren? Ook vragen zij hoe het kabinet het oordeel
weegt ten aanzien van het schrappen van de registratieplicht voor hoog-risico AI-systemen,
waarbij aanbieders zelf mogen wegen of hun systeem wel of niet hoog-risico is. Vindt
het kabinet dat hier voldoende publieke en democratische verantwoording wordt afgelegd
indien aanbieders zelf deze inschatting maken?

Antwoord

Met betrekking tot de uitgebreide grondslag voor het verwerken van bijzondere persoonsgegevens
voor detectie en correctie van bias in AI-systemen en modellen vinden het EDPB en
de EDPS dat dergelijke gegevensverwerking alleen dient te zijn toegestaan in strikt
afgebakende situaties, wanneer de risico’s op discriminatie ernstig zijn en er passende
waarborgen gelden. De EDPB en EDPS adviseren om de eis te behouden die nu al geldt
op grond van artikel 10, tweede lid, onder f, en vijfde lid, aanhef, namelijk dat
de gegevensverwerking strikt noodzakelijk moet zijn voor de beoordeling en correctie
met het oog op mogelijke vooringenomenheid die waarschijnlijk gevolgen heeft voor
de gezondheid en de veiligheid van personen, nadelige effecten heeft op de grondrechten,
of leidt tot discriminatie die op grond van het Unierecht verboden is, vooral wanneer
data-outputs invloed hebben op inputs voor toekomstige operaties. Het kabinet deelt
deze analyse van de EDPB/EDPS en is voorstander van het strikt limiteren van de inzet
van bijzondere persoonsgegevens.

Zoals aangegeven in het BNC-fiche heeft het kabinet bezwaren tegen het schrappen van
de registratieplicht voor hoog risico AI-systemen die alleen voor beperkte of procedurele
taken worden gebruikt. Dit verlaagt de transparantie over het gebruik van AI-systemen
in hoog risico context en bemoeilijkt het toezicht op deze systemen. Deze maatregel
levert bovendien slechts een zeer beperkte verlichting van regeldruk op. Er lijkt
voldoende steun in de Raad om deze registratieplicht in lijn met de kabinetsinzet
in stand te houden.

De leden van de D66-fractie vragen hoe Nederland Europees gaat optrekken om ervoor
te zorgen dat de AVG niet wordt gewijzigd op deze verstrekkende wijze, gezien het
hier niet gaat om versimpeling en reductie van regeldruk maar voornamelijk het afzwakken
van grondrechten met gevolgen die niet te overzien zijn.

Antwoord

Zoals uiteengezet in het BNC-fiche, steunt het kabinet het doel van het voorstel om
de regeldruk te verminderen en betere regelgeving te bevorderen. Tegelijkertijd ziet
het kabinet dat een deel van de voorstellen verder gaat dan het versimpelen van regelgeving.
Daarbij komt dat enkele voorstellen het niveau van gegevensbescherming wezenlijk lijken
te verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen
van regeldruk. Zoals uiteengezet in het BNC-fiche, heeft Nederland hier serieuze zorgen
over. Vanzelfsprekend dient de bescherming van grondrechten goed te blijven gewaarborgd.

Nederland zet er allereerst op in dat fundamentele wijzigingen bij de onderhandelingen
worden behandeld op een wijze die recht doet aan de potentiële impact ervan. De risico's
en impact van de voorstellen dienen helder te zijn. Nederland heeft daarom de EC verzocht
een uitgebreidere analyse te presenteren van de impact van de voorstellen die verdergaan
dan versimpeling. Nederland heeft daarnaast aangegeven dat het advies van de EDPS
in samenspraak met de EDPB moet worden betrokken bij de bespreking van deze voorstellen.
Het kabinet zal vervolgens trachten om de voorstellen die zich daarvoor lenen, waar
dit mogelijk is, in lijn met de kabinetsinzet en inhoudelijke zorgpunten te verbeteren.
Het kabinet heeft haar zorgen op deze punten geuit in de onderhandelingen en heeft
reeds enkele amendementen ingediend die deze zorgen adresseren. Daarbij wordt steun
gezocht bij gelijkgestemde lidstaten.

Deze leden lezen dat het kabinet nog geen standpunt heeft ingenomen met betrekking
tot de wijzigingen in AI-geletterdheid en vragen hoe het kabinet het principe weegt
dat de verantwoordelijkheid voor het bevorderen van AI-geletterdheid in het Commissievoorstel
is verschoven van bedrijven naar overheden. Zij vragen of het niet ook aan de bedrijven
die AI-systemen bouwen en gebruiken zélf is om te bevorderen dat hun personeel voldoende
geletterd is in het gebruik van AI, in plaats van deze verantwoordelijkheid zuiver
bij de Europese Commissie en lidstaten te leggen.

Antwoord

Het kabinet ziet het bevorderen van AI-geletterdheid bij personeel dat met AI werkt
als een belangrijk doel. Uiteindelijk is het inderdaad voor een belangrijk deel de
verantwoordelijkheid van organisaties die AI-systemen bouwen en gebruiken om de AI-geletterdheid
van hun personeel te bevorderen. Een brede wettelijke verplichting is echter niet
de enige manier om te stimuleren dat organisaties de AI-geletterdheid van hun personeel
bevorderen. Volgens de voorgestelde aanpassingen is het niet zuiver de verantwoordelijkheid
van lidstaten en de EC om AI-geletterdheid te bevorderen. Lidstaten en de EC worden
verplicht organisaties te stimuleren AI-geletterdheid te bevorderen. De organisaties
zelf zullen dit in de praktijk nog steeds moeten doen.

De verplichting in de AI-verordening, waarbij organisaties maatregelen dienen te nemen
om te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel, is
onvoldoende duidelijk en creëert onzekerheid bij organisaties die aan deze verplichting
moeten voldoen. Het kabinet zet erop in dat organisaties hun verantwoordelijkheid
nemen in het bevorderen van AI-geletterdheid. Een wettelijke verplichting hiertoe
moet echter wel duidelijk zijn en zekerheid geven aan organisaties wat van ze wordt
verwacht.

De leden van de D66-fractie merken op dat vereenvoudiging en centralisatie van digitale
regels niet alleen gevolgen hebben voor technologiebedrijven en toezichthouders, maar
ook voor sectoren die een cruciale publieke functie vervullen. Deze leden vragen daarom
aandacht voor de mogelijke gevolgen van de voorgestelde gecentraliseerde consentinstellingen
voor het Nederlandse en Europese medialandschap. Zij onderschrijven het belang van
het verminderen van consent fatigue voor burgers, maar vragen hoe het kabinet de impact
van deze voorstellen weegt voor de financiering en onafhankelijkheid van journalistiek,
in een markt waarin advertentie-inkomsten onder druk staan en steeds verder verschuiven
richting grote internationale platforms. Hoe beoordeelt het kabinet de gevolgen van
gecentraliseerde consentinstellingen voor de positie van nieuwsuitgevers op de online
advertentiemarkt, en ziet het kabinet risico’s dat deze voorstellen de marktmacht
van grote technologie- en advertentieplatforms verder vergroten?

Antwoord

Het kabinet onderschrijft het belang van onafhankelijke journalistiek en is zich bewust
van het belang van advertentie-inkomsten voor de financiering en onafhankelijkheid
van de journalistiek. Aanbieders van mediadiensten zijn uitgezonderd van het voorgestelde
artikel over gecentraliseerde consentinstellingen. Deze uitzondering is opgenomen
vanwege het belang van online-inkomstenstromen voor onafhankelijke journalistiek als
onmisbare pijler van een democratische samenleving en zodat mediadiensten rechtstreeks
met gebruikers kunnen communiceren om hen te informeren en toestemmingskeuzes te laten
maken.4 Het kabinet is deze uitzondering nader aan het bestuderen. De EDPB en EDPS hebben
in hun advies van 10 februari jl. aanbevolen om deze uitzondering te heroverwegen,
omdat deze uitzondering niet zou bijdragen aan het tegengaan van consent fatigue, en omdat aanbieders van mediadiensten bij de verwerking van persoonsgegevens in
het kader van cookies vaak samenwerken met derde partijen.

Daarnaast vragen de leden van de D66-fractie hoe het kabinet aankijkt tegen de governance
rond gecentraliseerde consentmechanismen. Bestaat het risico dat grote platforms in
de praktijk een bepalende rol krijgen bij de interpretatie of toepassing van Europese
definities, zoals die van media service providers, en hoe wordt geborgd dat dit niet
leidt tot ongewenste machtsconcentratie of afhankelijkheden voor onafhankelijke nieuwsmedia?
Tot slot vragen deze leden hoe het kabinet waarborgt dat maatregelen die bedoeld zijn
om gebruiksgemak voor burgers te vergroten, niet onbedoeld afbreuk doen aan pluriforme
journalistiek in Nederland en Europa.

Antwoord

In het voorstel is een uitzondering opgenomen voor aanbieders van mediadiensten, waardoor
het artikel over gecentraliseerde consentmechanismen op hen geen betrekking heeft.
Het kabinet onderzoekt deze uitzondering nog. Hierbij onderzoekt het kabinet ook of
er een risico is dat grote platforms in de mogelijk een bepalende rol krijgen bij
de interpretatie of toepassing van de definitie van het begrip media service providers, of dat dit risico voldoende is ingeperkt doordat het voorstel aansluit bij de bestaande
definitie hiervan in Verordening (EU) 2024/1083 (Europese verordening mediavrijheid).

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van het fiche over de
Omnibus Digitaal en de Omnibus AI. Deze leden delen de zorgen van het kabinet over
de mogelijke verzwakking van mensenrechten als gevolg van deze omnibusvoorstellen.
Zij hebben vragen en opmerkingen over deze voorstellen.

Ten eerste uiten de leden van de GroenLinks-PvdA-fractie hun grote zorgen over de
voorgestelde aanpassingen in de Omnibus AI. Volgens deze leden wordt hiermee baanbrekende,
hard bevochten wetgeving die mensen beschermt tegen de macht van techgiganten en ongerichte
AI-ontwikkelingen tenietgedaan.

De leden van de GroenLinks-PvdA-fractie keren zich tegen het uitstellen van de verplichtingen
met betrekking tot hoogrisico-AI-systemen. Zo worden verplichtingen, bij uitblijven
van een besluit van de EC, met respectievelijk 16 maanden en 12 maanden vertraagd.
Deze leden vragen aan de Minister nader in te gaan op de gevolgen van deze vertraging,
en of dit volgens hem niet het risico vergroot dat organisaties langer met risicovolle
en invloedrijke AI-systemen werken.

Antwoord

Met name kleinere organisaties hebben ondersteuning nodig om te kunnen voldoen aan
de verplichtingen voor hoog-risico AI-systemen, bijvoorbeeld door middel van standaarden
en richtsnoeren. Zoals aangegeven in het non-paper over regeldruk en digitale wetgeving,
heeft het kabinet de voorkeur dat er spoedig ondersteuningsmiddelen worden ontwikkeld
om te verduidelijken wat nodig is om aan de verplichtingen uit de AI-verordening dan
dat inwerkingtreding wordt uitgesteld. De ontwikkeling van deze ondersteuningsmiddelen
duurt echter langer dan voorzien. Dat is een belangrijke reden dat de EC de inwerkingtreding
van de verplichtingen heeft uitgesteld.

Het kabinet ziet liever korter uitstel voor hoog-risico AI-systemen in bijlage III.
Er lijkt in de Raad onvoldoende steun om het uitstel van de inwerkingtreding van deze
bepalingen te verkorten. Desalniettemin erkent het kabinet dat inwerkingtreding van
de bepalingen met betrekking tot hoog-risico AI niet per se effectief de risico’s
van AI-systemen inperkt als voor organisaties onduidelijk is hoe ze aan de verplichtingen
moeten voldoen. Het is daarom essentieel dat de benodigde standaarden en richtsnoeren
snel worden ontwikkeld.

Zij keren zich tegen het schrappen van verplichtingen voor aanbieders en gebruiksverantwoordelijken
van AI-systemen. De leden van de GroenLinks-PvdA-fractie vonden het al onnavolgbaar
dat aanbieders zelf moesten aantonen dat hun AI-systemen geen groot risico meebrengen.
Met het verdwijnen van de registratieplicht valt echter wel een waarborg weg om hoogrisico-AI-systemen
vroegtijdig te signaleren. Hoe kijkt de Minister naar de verdeling van de bewijslast?
Tevens hebben deze leden zorgen over het schrappen van de inspanningsverplichting
om AI-geletterdheid binnen organisaties te borgen. Zij pleiten voor een gezamenlijke
verantwoordelijkheid van zowel bedrijven als overheden om AI-geletterdheid te bevorderen.

Antwoord

Zoals aangegeven in de beantwoording van vraag 3 heeft het kabinet bezwaren tegen
het schrappen van de registratieplicht voor hoog risico AI-systemen die alleen voor
beperkte of procedurele taken worden gebruikt. Dit verlaagt de transparantie over
het gebruik van AI-systemen in hoog risico context en bemoeilijkt het toezicht op
deze systemen. Deze maatregel levert bovendien slechts een zeer beperkte verlichting
van regeldruk op. Het krachtenveld in de Raad lijkt op dit moment, in lijn met de
inzet van het kabinet, voor terugdraaien van het schrappen van de registratieplicht
te zijn.

Met betrekking tot de verplichting om AI-geletterdheid te borgen verwijs ik u naar
de beantwoording van vraag 4. Het kabinet ziet inderdaad dat zowel overheden als bedrijven
een verantwoordelijkheid hebben in het bevorderen van AI-geletterdheid.

De leden van de GroenLinks-PvdA-fractie hebben grote bezwaren tegen de Omnibus Digitaal.
Het grondrecht op privacy is een groot goed dat burgers beschermt tegen inmenging
van overheden en bedrijven. Het verzwakken hiervan zien deze leden dan ook als een
aanval op essentiële Europese waarden, en een opmaat naar een minder veilige en vrije
samenleving.

Deze leden keren zich tegen de versoepeling van regels rondom bijzondere persoonsgegevens.
Het toestaan van verwerking van deze gegevens voor verificatiedoeleinden en het trainen
van AI-modellen gaat wat hen betreft veel te ver.

Zij zijn tevens bezorgd over het omkeren van de regels voor het gebruiken van geautomatiseerde
besluitvorming. Momenteel geldt een «nee, tenzij»-regel voor het gebruiken van zulke
systemen. In het voorstel wordt dit omgekeerd tot een «ja, tenzij»-regel. De leden
van de GroenLinks-PvdA-fractie vragen de Minister om uit te leggen wat dit in de praktijk
betekent voor de huidige inzet van geautomatiseerde besluitvorming binnen overheidsorganisaties.
Kan hij aan de hand van voorbeelden uitleggen hoe deze aanpassing het gebruik van
geautomatiseerde besluitvorming zou veranderen?

Antwoord

De voorgestelde wijziging van artikel 22 AVG, over verwerking van persoonsgegevens
voor geautomatiseerde individuele besluitvorming, wijzigt de formulering van dit artikel
zo dat het recht van de betrokkene verandert in een verplichting voor de verwerkingsverantwoordelijke.
Deze gewijzigde formulering zou geen verandering van de rechten van betrokkenen mogen
inhouden. Nederland heeft daarom voorgesteld om in de bijbehorende overweging 38 te
expliciteren dat de voorgestelde wijzigingen de rechten van betrokkenen niet veranderen.
De EDPB en EDPS hebben in hun advies van 10 februari 2026 een alternatieve formulering
voorgesteld,5 die blijft uitgaan van een verbod met uitzonderingen (nee-tenzij regel), om te voorkomen
dat de mogelijkheden voor geautomatiseerde individuele besluitvorming te breed worden
geïnterpreteerd. Op die manier zou duidelijk zijn dat er geen sprake is van een materiële
verandering, wat zou aansluiten bij het oogmerk van het Nederlandse voorstel.

De voorgestelde wijziging van artikel 22 AVG heeft daarnaast betrekking op de beoordeling
of een besluit noodzakelijk is voor het sluiten of uitvoeren van een overeenkomst
tussen de betrokkene en een verwerkingsverantwoordelijke. Het voorstel verduidelijkt
dat niet mag worden vereist dat het besluit uitsluitend door middel van geautomatiseerde
verwerking kan worden genomen. In overweging 38 wordt aangegeven «dat het feit dat
het besluit ook door een mens kan worden genomen, de verwerkingsverantwoordelijke
er niet van weerhoudt het besluit te nemen door uitsluitend geautomatiseerde verwerking».
In 1.2.2.7 van het SWD geeft de EC aan dat de huidige formulering ruimte laat voor
een (ongewenst geachte) restrictieve interpretatie die het gebruik van geautomatiseerde
tools belemmert, bijvoorbeeld op het gebied van cyberbeveiliging en fraudepreventie,
of in de precontractuele fase.

De EDPB en EDPS hebben in hun advies van 10 februari jl. geadviseerd om het voorgestelde
artikel 22, eerste lid, onder a, over te hevelen naar overweging 38, en anders te
verwoorden, om te verduidelijken dat de algemene eisen van noodzakelijkheid en dataminimalisatie
uit artikel 5 en 6(1)(b) AVG onverkort gelden. Ook adviseren zij om in overweging
38 te verduidelijken dat geautomatiseerde individuele besluitvorming alleen noodzakelijk
is als de verwerkingsverantwoordelijke niet beschikt over andere even effectieve en
minder ingrijpende middelen (al dan niet geautomatiseerd). Het kabinet bestudeert
dit advies momenteel nader, maar ook het kabinet is ervan uitgegaan dat een dergelijke
beoordeling ook in de toekomst vereist blijft, omdat die rechtstreeks voortvloeit
uit de algemene vereisten van noodzakelijkheid, subsidiariteit en proportionaliteit
die bij artikel 5, 6 en 22 AVG van toepassing zijn.

Deze leden vinden het onnavolgbaar dat de plicht om datalekken te melden wordt beperkt
tot «gevallen waarin het lek daadwerkelijk nadelige gevolgen voor personen kan hebben.»
Hiermee geeft de Commissie vrij spel om datalekken onvermeld te laten. In het geval
van een datalek zijn de gevolgen in de meeste gevallen niet snel te overzien. Daarom
is uiterste voorzichtigheid geoorloofd en zou er juist zo snel mogelijk melding gemaakt
moeten worden volgens deze leden.

Zij vinden het zeer opmerkelijk dat de EC wil verplichten dat de EDPB een lijst bijhoudt
van uitzonderingen voor het opmaken van een data protection impact assessment (DPIA).
Wat is het doel van deze lijst met uitzonderingen? Welke uitzonderingen zullen op
deze lijst worden opgenomen?

Antwoord

Het kabinet herkent de genoemde zorgen over het voorstel om de meldplicht van datalekken
aan de toezichthouder te beperken tot gevallen waarin het datalek een «hoog risico»
oplevert voor rechten en vrijheden van betrokkenen. De Autoriteit Persoonsgegevens
(AP) heeft in haar position paper geconstateerd dat verwerkingsverantwoordelijken
de risico's van datalekken voor betrokkenen vaak onderschatten.6 De toezichthouder kan verwerkingsverantwoordelijken verplichten om een datalek ook
aan betrokkenen te melden (artikel 34, vierde lid, AVG). Door de drempel voor melding
aan de toezichthouder, zoals voorgesteld, gelijk te trekken met de drempel voor melding
aan betrokkenen, verliezen toezichthouders deze «corrigerende» functie. Dit kan ertoe
bijdragen dat personen die door een datalek worden geraakt, daarover niet worden geïnformeerd.
Tegelijkertijd steunt het kabinet het doel om het onevenredig hoge aantal meldingen
van datalekken aan toezichthouders te verminderen. Daarom stelt het kabinet voor om
een middenweg te vinden tussen de drempel in het geldende artikel 33 AVG («een risico»)
en de voorgestelde drempel in het voorstel van de Commissie («hoog risico»). Te denken
valt aan «impactvol risico», of eventueel «relevant risico» of «verhoogd risico».

De zogenaamde «witte lijst», is een lijst met verwerkingen die geen «hoog risico»
opleveren voor fundamentele rechten en vrijheden en waarvoor dus géén DPIA hoeft te
worden uitgevoerd. In de praktijk bestaat regelmatig onzekerheid over welke verwerkingen
een hoog risico inhouden, waardoor verwerkingsverantwoordelijken zonder dat er welbeschouwd
daartoe een plicht bestaat, de last ervaren om een DPIA uit te voeren. Een «witte
lijst» is dus nadrukkelijk geen lijst met «uitzonderingsgevallen» zoals in de vraag
wordt aangenomen. Het kabinet verwelkomt een verplichting voor toezichthouders om
een «witte lijst» op te stellen met verwerkingen die geen «hoog risico» opleveren,
en verwacht dat deze verplichting kan leiden tot meer rechtszekerheid voor verwerkingsverantwoordelijken.

Volgens het voorstel wordt de witte lijst vastgesteld door de EC, op voorstel van
de EDPB. De EDPB en EDPS adviseren om dit uitsluitend aan de EDPB te laten (zie §90
in samenhang met §82 en 83 van hun advies van 10 februari jl.), onder meer vanwege
hun onafhankelijkheid en vanwege de subsidiariteit, omdat de EDPB bestaat uit de nationale
gegevensbeschermingstoezichthouders. Dit advies sluit aan bij het kabinetsstandpunt.

De leden van de GroenLinks-PvdA-fractie lezen dat er geen impact assessment is uitgevoerd
voor de omnibusvoorstellen. Dit stort alle aannames over het verminderen van kosten
en regeldruk en het aanjagen van innovatie in grote onzekerheid. Deze leden verzoeken
de Minister om het uitvoeren van een degelijke impact assessment als een essentiële
randvoorwaarde te beschouwen, voordat er überhaupt verder onderhandeld kan worden
over de omnibusvoorstellen. Zonder gemeenschappelijk begrip over wat de aanpassingen
in de praktijk inhouden, is er geen degelijke onderhandeling mogelijk. Deelt de Minister
deze visie en is hij bereid om een voorbehoud te maken op onderhandelingen zolang
er geen impact assessment is uitgevoerd?

Antwoord

Voor de omnibussen presenteert de EC in het algemeen geen impact assessments. De EC
geeft als reden dat het gaat om urgente aanpassingen van politiek belang, die te veel
vertraging zouden oplopen in het geval er een volledig impact assessment moet worden
uitgevoerd. De impact van de voorstellen wordt wel geanalyseerd. De analyse en onderbouwing
van de voorstellen worden middels een SWD7 gedeeld.

Het SWD biedt volgens de EC voldoende basis om te onderhandelen over de voorstellen
die zich in lijn met de kabinetsinzet focussen op versimpelen, verduidelijken en stroomlijnen.
In het algemeen past de omnibusaanpak van de EC binnen de bredere doelstelling van
het kabinet om de regeldruk terug te dringen. Deze omnibussen bevatten echter voorstellen
die verdergaan dan het versimpelen, verduidelijken en stroomlijnen van wetgeving.
Voor sommige van deze voorstellen maakt het ontbreken van een impact assessment het
moeilijk voor het kabinet om de effecten te beoordelen.

Het kabinet heeft de EC verzocht een uitgebreidere analyse van de impact van deze
voorstellen te presenteren. Het kabinet heeft daarnaast aangegeven dat het advies
van de EDPS en het EDPB, dat 11 februari is vastgesteld, moet worden betrokken bij
de bespreking van dit voorstel. Daarmee zet het kabinet erop in de voorstellen die
verdergaan dan versimpeling te behandelen op een wijze die recht doet aan de potentiële
impact en de zorgpunten. Een formeel impact assessment is niet de enige manier om
deze inzet te bewerkstelligen.

Zij verwelkomen de kritische houding van het kabinet aangaande de omnibusvoorstellen.
De leden van de GroenLinks-PvdA-fractie missen echter een concrete invulling van wat
het kabinet met deze kritiek gaat doen. Volgens deze leden ligt het in lijn met de
Nederlandse inzet om zich af te zetten tegen deze omnibusvoorstellen, gezien de waslijst
met zorgen en kritiek die de Minister in het fiche uit. Kan de Minister uitleggen
hoe hij zich opstelt in de gesprekken rondom de omnibusvoorstellen? Welke rode lijnen
hanteert de Minister is en hij bereid om, als er niet tegemoet wordt gekomen aan de
Nederlandse eisen, niet in te stemmen met de omnibusvoorstellen? Hoe geeft de Minister
invulling aan de motie-Kathmann/Dassen (Kamerstuk 21 501-33, nr. 1173)?

Antwoord

Het kabinet kan veel aanpassingen binnen de omnibussen steunen, omdat deze in lijn
met de Nederlandse inzet digitale wetgeving versimpelen, verduidelijken en stroomlijnen,
waarbij de doelen van de wetgeving overeind blijven. Een deel van de voorstellen in
de Omnibus Digitaal en Omnibus AI gaat echter verder dan het versimpelen, verduidelijken
en stroomlijnen van wetgeving. Zoals is uiteengezet in het BNC-fiche, heeft het kabinet
in het bijzonder bij een aantal fundamentele wijzigingen aan de AVG serieuze zorgen.
Het gaat in het bijzonder om wijzigingen die het niveau van gegevensbescherming wezenlijk
verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen
van regeldruk. Vanzelfsprekend dient de bescherming van grondrechten goed te blijven
gewaarborgd.

Zoals uiteengezet in het antwoord op vraag 3, zet Nederland er allereerst op in dat
fundamentele wijzigingen bij de onderhandelingen worden behandeld op een wijze die
recht doet aan de potentiële impact ervan. De risico's en impact van de voorstellen
dienen helder te zijn. Nederland heeft daarom de EC verzocht een uitgebreidere analyse
te presenteren van de impact van de voorstellen die verdergaan dan versimpeling. Nederland
heeft daarnaast aangegeven dat het advies van de EDPS in samenspraak met de EDPB moet
worden betrokken bij de bespreking van deze voorstellen. Het kabinet zal vervolgens
trachten om de voorstellen die zich daarvoor lenen, waar dit mogelijk is, in lijn
met de kabinetsinzet en inhoudelijke zorgpunten te verbeteren. Het kabinet heeft haar
zorgen op deze punten geuit in de onderhandelingen en heeft reeds enkele amendementen
ingediend die deze zorgen adresseren. Het kabinet zal op basis van het uiteindelijk
onderhandelingsresultaat beoordelen of het resultaat voldoende in lijn is met de Nederlandse
inzet.

Het kabinet geeft invulling aan de motie Kathman/Dassen door erop aan te dringen dat
de Commissie voor wijzigingen met impact op gegevensbescherming en grondrechten een
uitgebreidere analyse van de impact presenteert. Daarnaast zet het kabinet erop in
dat het advies van EDPS in samenspraak met de EDPB wordt betrokken bij de bespreking
van deze voorstellen en brengt het zelf de gevolgen ervan verder in kaart. Het kabinet
heeft daarnaast amendementen ingediend om de voorstellen aan te passen op de onderdelen
die afbreuk doen aan de bescherming van grondrechten.

Zij lezen dat de Minister drie uitgangspunten heeft geformuleerd: het niet afzwakken
van de doelen van wetgeving, het reducering van nalevingskosten door tools en ondersteuning
te ontwikkelen, en een uniforme Europese uitleg van de wetgeving. De leden van de
GroenLinks-PvdA-fractie vragen aan de Minister welke consequenties hij er aan verbindt
als aan deze uitgangspunten niet wordt voldaan. Hoe is de Minister van plan om te
toetsen of de uitgangspunten naar wens zijn ingewilligd? Welke aanvullende analyses
zijn er nodig om dit vast te stellen, en door wie dienen deze te worden uitgevoerd?

Antwoord

Het kabinet zet er in eerste instantie op in om de voorstellen op deze punten in lijn
met de kabinetsinzet te verbeteren. Het kabinet heeft haar zorgen op deze punten geuit
en heeft amendementen ingediend die deze zorgen adresseren. Het kabinet zal op basis
van het uiteindelijke onderhandelingsresultaat beoordelen of het resultaat voldoende
in lijn is met de Nederlandse inzet.

Voor wat betreft analyse heeft het kabinet de Commissie verzocht uitgebreidere analyse
van de impact van de voorstellen te presenteren, hecht het belang aan de adviezen
van de EDPS in samenspraak met de EDPB en brengt het kabinet zelf de gevolgen van
de voorstellen verder in kaart.

Deze leden zetten vraagtekens bij de aanname dat het ondernemingsklimaat verbetert
door de omnibusvoorstellen. Ten eerste stellen zij dat er geen sprake is van één ondernemingsklimaat.
Voorstellen die gunstig zijn voor Amerikaanse techgiganten die hun grip op de Europese
markt willen vergroten, zijn niet per sé positief voor het Europese mkb. Integendeel:
dit ondermijnt de potentie tot een eerlijke concurrerende digitale markt. Kan de Minister
duidelijker uitleggen welke gevolgen de omnibusvoorstellen hebben voor verschillende
soorten bedrijven? Heeft hij een analyse gemaakt waaruit blijkt of de voordelen voor
het Europese bedrijfsleven proportioneel zijn aan de voordelen die deze wijzigingen
hebben voor niet-Europese techgiganten?

Antwoord

Het kabinet erkent dat kleinere bedrijven andere uitdagingen ervaren dan grote bedrijven
met betrekking tot regeldruk. Grotere bedrijven zijn over het algemeen beter in staat
dan kleine bedrijven om complexe regelgeving zelfstandig te interpreteren en toe te
passen. Kleinere bedrijven hebben baat bij heldere regels en ondersteuning die het
makkelijker maakt regels na te leven.

Zowel binnen de nationale als de Europese agenda voor betere regelgeving8 is daarom bijzondere aandacht voor het mkb. De omnibussen zijn onderdeel van de agenda
voor betere regelgeving en bevatten daarom verschillende aanpassingen die er specifiek
op zijn gericht naleving van de regels door mkb of small midcap bedrijven makkelijker te maken. Daarnaast zorgt met name de Omnibus AI ervoor dat
er meer richtsnoeren worden ontwikkeld, die het makkelijker maken aan de regels te
voldoen.

Het kabinet geeft in het BNC-fiche aan dat een aantal voorstellen uit de omnibussen
mogelijk niet effectief bijdragen aan het verlagen van regeldruk. Bij verschillende
van deze voorstellen – zoals het Europees meldpunt, bepaalde wijzigingen aan de AVG
en de uitzonderingen in de Dataverordening op de bepalingen over overstappen tussen
clouddiensten – verwacht het kabinet dat deze met name voor het mkb geen lastenverlichting
zullen opleveren. Deze voorstellen lijken de complexiteit van (het naleven van) wetgeving
te verhogen of creëren complexe uitzonderingen waar kleinere bedrijven waarschijnlijk
minder snel gebruik van zullen maken.

De leden van de GroenLinks-PvdA-fractie wijzen op de actieve rol die Nederland heeft
gespeeld in de totstandkoming van digitale Europese wetgeving. Deze leden hebben,
samen met een meerderheid van de Tweede Kamer, de Minister hierin altijd gesteund
en gemaand tot meer ambitie. Met welk doel heeft Nederland bijgedragen aan de ontwikkeling
van bijvoorbeeld de AI-verordening en de Dataverordening? Deelt de Minister de opvatting
van deze leden dat het afzwakken van deze wetgeving in deze omnibusvoorstellen in
dat licht niet geloofwaardig en niet nodig is? Wat is er in de tussentijd feitelijk
veranderd waardoor deze wetgeving weer aangepast moet worden, naast de aanname dat
deregulering zal leiden tot een betere concurrentiepositie?

Antwoord

Het kabinet heeft inderdaad een actieve rol gespeeld bij de totstandkoming van de
AI-verordening en de Dataverordening. Bij de AI-verordening vindt het kabinet het
belangrijk dat de verordening een Europese gemeenschappelijke markt creëert voor de
ontwikkeling en het gebruik van AI-systemen, waarbij AI-systemen in de Europese markt
veilig zijn en fundamentele rechten respecteren. Met betrekking tot de Dataverordening
heeft het kabinet erop ingezet dat de verordening het gebruik van data voor innovatie
en het adresseren van maatschappelijke uitdagingen bevordert en concurrentie in de
cloudmarkt versterkt. Tegelijk was de inzet te borgen dat consumenten en bedrijven
meer controle krijgen over data uit hun apparaten en clouddiensten en dat data wordt
gebruikt in lijn met Europese waarden en regels.

De voorgestelde wijzigingen aan de Dataverordening passen grotendeels binnen de Nederlandse
inzet en zwakken de Dataverordening niet af. Alleen bij de voorgestelde uitzonderingen
voor sommige clouddiensten om onder bestaande contracten niet aan de verplichtingen
over overstappen te hoeven voldoen, ziet het kabinet dat deze onduidelijkheid creëren
en de werking van dit onderdeel van de verordening kunnen vertragen.

Voor wat betreft de AI-verordening is een belangrijke factor dat de ontwikkeling van
ondersteuningsmiddelen om aan de verordening te voldoen, zoals standaarden en richtsnoeren,
langer duurt dan voorzien. Met name kleinere organisaties hebben ondersteuning nodig
om te kunnen voldoen aan de verplichtingen voor hoog-risico AI-systemen.

Los van het algemene belang om onnodige regeldruk te voorkomen en verlagen, is gebleken
dat specifiek voor digitale wetgeving het totaal aan nieuwe wetgeving dat ongeveer
tegelijk in werking treedt, onduidelijkheid oplevert voor met name kleinere bedrijven.
Daarom steunt het kabinet aanpassingen aan digitale wetgeving die die het makkelijker
maken aan deze wetgeving te voldoen zonder de doelen ervan af te zwakken.

Zij wijzen op een werkdocument van de EC, waaruit blijkt dat 96% van de ondervraagde
bedrijven meer voordelen dan nadelen ervaart in de geldende privacyregels. Tegelijkertijd
wordt gesteld dat deze voordelen moeilijk te kwantificeren zijn bij marktpartijen,
hoewel er wordt geschat dat ergens tussen de 585 miljoen tot 1,4 miljard euro wordt
bespaard door AVG-compliance omdat dit dwingt tot investeringen in cyberveiligheid.
Hoe kijkt de Minister naar deze analyse, en deelt hij de mening dat de voordelen van
de Europese privacywetgeving reëel zijn? Hoe onderbouwt hij in dit licht dat afzwakking
van deze wetgeving noodzakelijk is?

Antwoord

Het kabinet deelt de mening dat de voordelen van de AVG en andere privacy- en gegevensbeschermingswetgeving
reëel zijn. Zoals ook is bevestigd in de Tweede Evaluatie van de AVG door de EC, kunnen
betrokkenen dankzij de AVG rekenen op een goede bescherming. Ook zijn verwerkingsverantwoordelijken
en verwerkers onderworpen aan in EU-verband geharmoniseerde verplichtingen, die tevens
betrekking hebben op de beveiliging van persoonsgegevens.9 Dit neemt niet weg dat de uitleg van de AVG in de praktijk vragen oproept, vooral
voor verwerkingsverantwoordelijken die gegevensverwerkingen niet als hoofdactiviteit
hebben – zoals het mkb, onderzoekers en onderzoeksorganisaties. Niet voor niets heeft
de EC in 2024 gegevensbeschermingsautoriteiten opgeroepen om duidelijkere en beter
uitvoerbare richtsnoeren te verstrekken en te werken aan een consistente interpretatie
en handhaving van de AVG in de hele EU. In dit licht steunt het kabinet een gerichte
focus op versimpeling, verduidelijking en stroomlijning van de AVG – die daadwerkelijk
de ervaren regeldruk reduceert, en waarbij de doelen van de wetgeving overeind blijven.

De leden van de GroenLinks-PvdA-fractie hebben ernstige zorgen over de wijziging van
de definitie van het begrip persoonsgegevens. Het aanpassen van de werkdefinitie van
zo’n kernbegrip in ons privacyrecht heeft verstrekkende en onduidelijke gevolgen.
Het kabinet geeft toe dat het omnibusvoorstel verder gaat dan louter «de codificatie
van het SRB-arrest.» Deze leden vragen de Minister om «de eerste analyse van het kabinet»
waaruit dit blijkt aan de Kamer te doen toekomen.

Antwoord

Het kabinet beaamt dat deze nieuw voorgestelde definitie vragen oproept en dat de
gevolgen hiervan niet direct duidelijk zijn. Volgens de EC zou de wijziging een codificatie
van het SRB-arrest betreffen, maar op basis van de eerste analyse van het kabinet
gaat het voorstel verder dan een codificatie.10 Het voorstel lijkt namelijk een wijziging aan te brengen ten opzichte van een overweging
van het Hof van Justitie van de Europese Unie (HvJEU) over de vraag of gepseudonimiseerde
gegevens ook in meerdere schakels van een keten als persoonsgegevens moeten worden
beschouwd.11 Sommige elementen uit de jurisprudentie lijken in de voorgestelde definitie te ontbreken,
zoals het feit dat de specifieke entiteit die de gegevens verwerkt, via derde partijen
toegang kan verkrijgen tot identificatiemiddelen, ook een relevant criterium is voor
de vraag of sprake is van persoonsgegevens (voor die entiteit).12 In Nederlandse rechtspraak wordt dit criterium zo uitgelegd dat bepalend is welke
middelen de ontvanger feitelijk ter beschikking heeft om gegevens te herleiden tot
individuen.13

Verder noemt de voorgestelde definitie niet het criterium of de ontvanger in staat
is de pseudonimisering ongedaan te maken.14 Het kabinet heeft de EC daarom gevraagd de door haar voorgestelde wijziging te verduidelijken,
nader toe te lichten en de effecten te beoordelen.

De EDPB en EDPS dringen er in hun advies van 10 februari jl. ook met klem op aan de
voorgestelde wijzigingen in de definitie van persoonsgegevens niet te aanvaarden,
aangezien zij veel verder gaan dan een gerichte of technische wijziging van de AVG.
Bovendien weerspiegelen de voorstellen volgens de EDPB en EDPS niet nauwkeurig de
jurisprudentie, gaan zij duidelijk verder en zouden zij leiden tot een aanzienlijke
beperking van het begrip persoonsgegeven, en aldus van de reikwijdte van de AVG, terwijl
de rechtsonzekerheid voor organisaties toeneemt. Meerdere lidstaten in de Raad van
de Europese Unie (Raad) lijken het terugdraaien van de wijziging van de definitie
van persoonsgegeven te steunen.

Zij hebben bezwaar tegen het aanwijzen van AI-training als een «gerechtvaardigd belang»
om (bijzondere) persoonsgegevens te mogen verwerken. Hiermee wordt het essentiële
belang van bescherming van personen en hun gegevens ondermijnd voor de commerciële
belangen van vooral de techgiganten die de AI-markt reeds domineren. Het speelt de
schaalvoordelen van techgiganten in de hand, omdat zij hun online platforms en de
grote hoeveelheid aan persoonsgegevens die daar te vinden zijn, in kunnen zetten om
hun macht te vergroten. Deelt de Minister de zorg dat dit de positie van burgers ten
opzichte van machtige techbedrijven verder verzwakt? Is hij bereid om onomwonden bezwaar
te maken tegen deze wijziging van de AVG, en niet in te stemmen met een voorstel dat
deze definitie wijzigt?

Antwoord

Zoals ook in het BNC-fiche is benadrukt, heeft het kabinet bij een aantal fundamentele
wijzigingen aan de AVG serieuze zorgen, omdat deze wijzigingen het niveau van gegevensbescherming
wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het
verlagen van regeldruk.

Op dit moment kan het verwerken van persoonsgegevens voor AI-doeleinden toegestaan
zijn, zoals ook volgt uit EDPB Advies 28/2024 over bepaalde aspecten van gegevensbescherming
in verband met de verwerking van persoonsgegevens in het kader van AI-modellen. De
verwerkingsverantwoordelijke moet hierbij wel aan verschillende voorwaarden voldoen.
De EDPB en EDPS hebben dit in hun advies van 10 februari 2026 bevestigd, en aangegeven
dat het daarom niet nodig is om hierover een specifieke bepaling op te nemen in de
AVG.

In het BNC-fiche is benoemd dat het voorstel lijkt vast te leggen dat bij de training
en exploitatie van een AI-model de grondslag «gerechtvaardigd belang» per definitie
is gegeven zonder dat een noodzakelijkheidstoets en de bijbehorende belangenafweging
moet plaatsvinden. Het voorstel voorziet ook in de verwerking van bijzondere persoonsgegevens
voor dit doel. Juist vanwege de gevolgen die de verwerking van deze bijzondere categorieën
van persoonsgegevens voor de betrokkenen kunnen hebben, genieten zij extra bescherming.
Wanneer deze persoonsgegevens ook mogen worden verwerkt voor genoemd doel, is het
extra belangrijk dat er goede randvoorwaarden zijn. Of deze mogelijkheden verder moeten
worden verruimd, vergt nadere beoordeling. Verdere verruiming zou alleen aan de orde
kunnen zijn als de fundamentele rechten voldoende gewaarborgd zijn.

De leden van de GroenLinks-PvdA-fractie hebben dezelfde zorgen over het uitbreiden
van de wettelijke basis om bijzondere persoonsgegevens te gebruiken om de bias van
AI-modellen te testen. De AI-verordening voorziet in een grondslag om dit te doen
voor hoog-risico AI-systemen; de omnibus breidt dit uit naar álle AI-systemen. Deze
leden vragen de Minister om zijn zorgen over het mogelijke lekken en misbruik van
deze gegevens verder toe te lichten. Hoe gaat de Minister «bestuderen» of de risico’s
proportioneel zijn aan het doel? Wanneer verwacht de Minister hier uitsluitsel over
te hebben?

Antwoord

De verwerking van bijzondere persoonsgegevens is in beginsel verboden en kan alleen
onder specifieke voorwaarden worden toegestaan, omdat de context van de verwerking
ervan significante risico’s kan meebrengen voor de grondrechten en fundamentele vrijheden
(overweging 51 AVG). Het is in dat licht niet wenselijk om ambigue of ruime uitzonderingen
te maken voor de verwerking van bijzondere persoonsgegevens. Een strikte limitering
tot verwerking voor bias-detectie en -correctie is wenselijk.

Dit is ook benadrukt in de opinie van het EDPB en de EDPS. Zoals aangegeven in de
beantwoording van vraag 2 vinden de EDPB en de EDPS dat een dergelijke gegevensverwerking
alleen dient te zijn toegestaan in strikt afgebakende situaties, wanneer het risico
op discriminatie ernstig is en er passende waarborgen gelden. EDPB en EDPS adviseren
om de eis te behouden die nu al geldt op grond van artikel 10, tweede lid, onder f,
en vijfde lid, aanhef, namelijk dat de gegevensverwerking strikt noodzakelijk is voor
de beoordeling en correctie met het oog op mogelijke vooringenomenheid die waarschijnlijk
gevolgen heeft voor de gezondheid en de veiligheid van personen, nadelige effecten
heeft op de grondrechten, of leidt tot discriminatie die op grond van het Unierecht
verboden is, vooral wanneer data-outputs invloed hebben op inputs voor toekomstige
operaties.

Het kabinet zet erop in het voorstel op dit punt in lijn te brengen met de opinie
van de EDPB en EDPS. Wanneer het kabinet uitsluitsel kan geven of de waarborgen in
het voorstel voldoende proportioneel zijn hangt af van het verloop van de onderhandelingen.
Er lijkt voldoende steun in de Raad om de voorwaarden waaronder bijzondere persoonsgegevens
mogen worden verwerkt voor biasdetectie en -correctie aan te scherpen.

Zij hebben ernstige bezwaren bij de verschuiving van bevoegdheden van de onafhankelijke
EDPB naar de EC. Dit betreft het kunnen stellen van regels waarin een datalek moet
worden gemeld, wanneer DPIA’s verplicht zijn, en de criteria die gelden voor het pseudonimiseren
van gegevens. Op al deze vlakken achten de leden van de GroenLinks-PvdA-fractie het
zeer onwenselijk om dit een politieke bevoegdheid te maken. Hierin delen zij de zorgen
van het kabinet. Op welke manier gaat de Minister zich inzetten om deze specifieke
zorgen weg te nemen in het traject richting de omnibus? Zijn dit rode lijnen voor
de Minister waar zijn steun voor de omnibussen afhankelijk van is?

Antwoord

Zoals ook in het BNC-fiche aangegeven ziet het kabinet in de verschuiving van bevoegdheden
van de EDPB naar de EC het risico dat juridische besluitvorming politiek wordt. Dat
past niet bij een verordening die in belangrijke mate strekt tot grondrechtenbescherming.
Grondrechten mogen worden ingeperkt, maar alleen onder strikte voorwaarden en na zorgvuldige
weging.

Het kabinet brengt de zorgen over de verschuiving van bevoegdheden naar de EC naar
voren tijdens de onderhandelingen en pleit voor behoud van deze bevoegdheden voor
de EDPB. Het kabinet voelt zich hierin onder meer gesterkt door het advies van de
EDPB en EDPS van 10 februari jl., die hebben aanbevolen om de Commissie geen rol te
geven bij de vaststelling van de lijsten over wanneer DPIA’s of meldingen van datalekken
verplicht zijn, en ook niet bij criteria inzake pseudonimisering. Meerdere lidstaten
lijken het behouden van deze bevoegdheden voor de EDPB te steunen.

Deze leden zijn enigszins positief over de aanpassingen van het cookiebeleid. Zij
moedigen aan dat cookies zo makkelijk mogelijk af te wijzen zijn voor gebruikers.
Kan de Minister nader toelichten hoe dit er in de praktijk uit kan zien, en wat gebruikers
uiteindelijk van deze wijziging gaan merken?

Antwoord

Zoals aangegeven in het BNC-fiche staat het kabinet ook positief tegenover voorstellen
om geautomatiseerde toestemming te kunnen geven of weigeren voor cookies, zolang dit
in lijn is met de eisen voor toestemming uit de AVG. In de praktijk zullen de voorgestelde
wijzigingen onder andere inhouden dat voor web browsers centraal toestemming kan worden gegeven of toestemming kan worden geweigerd voor cookies.
Websites moeten deze in de web browser gemaakte keuze respecteren.

Gebruikers zullen merken dat ze hierdoor met minder cookiebanners geconfronteerd zullen
worden. Omdat voor «media service providers» een uitzondering is gemaakt in het voorstel,
zullen gebruikers op de websites van bijvoorbeeld dag- en nieuwsbladen nog wel cookiebanners
te zien krijgen. Indien gebruikers via web browers centraal toestemming geven voor
cookies, is wel van belang dat de toestemming voldoet aan de vereisten van artikel
7 AVG.

De leden van de GroenLinks-PvdA-fractie delen de bezwaren rondom het oprichten van
een Europees meldpunt voor incidentmeldingen. Deze leden vragen de Minister om duidelijk
te maken hoe hij zich inspant om dit voorstel uit de omnibus te verwijderen in Europees
verband. Bovendien onderstrepen zij de bezwaren van de Minister aangaande het schrappen
van de registratieplicht voor hoog-risico AI-systemen en het schrappen van de P2B-verordening
(Platform-to-Business). Welke risico’s voor de rechtszekerheid en bescherming van
kleinere ondernemers ziet de Minister precies?

Antwoord

Het kabinet waardeert de inspanningen van de EC om met de omnibussen digitale wetgeving
te vereenvoudigen en stroomlijnen. Tegelijkertijd heeft het kabinet zijn zorgen geuit
over de oprichting van een Europees meldpunt, vooral wat betreft de mogelijke impact
op nationale meldplatformen en de afhandeling van incidenten, waaronder die met betrekking
tot nationale veiligheid. De uiteindelijke effectiviteit van het voorstel in het verlagen
van regeldruk en de invloed op nationale bevoegdheden zal deels afhangen van de concrete
invulling van het Europees meldpunt. Gezien de bredere context is het te verwachten
dat er bij verschillende lidstaten zorgen bestaan over deze ontwikkeling. Het kabinet
zal de voortgang van het voorstel blijven volgen en waar nodig verdere vragen stellen
aan de EC tijdens de onderhandelingen van dit proces.

De P2B-verordening beschermt ondernemers wanneer zij zaken doen met platforms en draagt
bij aan een eerlijke en voorspelbare bedrijfsomgeving. De P2B biedt daarvoor een reeks
waarborgen, die vooral van belang zijn voor kleinere ondernemers die op online platforms
goederen en diensten aanbieden. Juist de mate van concreetheid van de P2B is voor
deze ondernemers van belang.

Door het schrappen van de P2B zouden bepaalde beschermingsmaatregelen voor zakelijke
gebruikers op digitale platforms komen te vervallen. Zonder de waarborgen van de P2B
kunnen platforms hun voorwaarden zonder of met slechts een minimale waarschuwing wijzigen,
wat onevenredig grote gevolgen kan hebben voor kleine bedrijven die afhankelijk zijn
van de toegang tot die platforms. Als gevolg lopen kleinere ondernemers het risico
minder goed beschermd te zijn in hun commerciële relatie met dergelijke online platforms.

Ook kunnen kleinere ondernemers niet meer terecht bij de Autoriteit Consument en Markt
(ACM) voor handhaving naar aanleiding van klachten over platforms die niet in Nederland
gevestigd zijn. Dit doet volgens het kabinet af aan de rechtszekerheid van de gebruikers
van die platforms. Het kabinet wil deze risico's mitigeren door in te zetten op behoud
van de P2B-bepalingen die voor kleinere ondernemers het meest van belang zijn.

De leden van de GroenLinks-PvdA-fractie vinden het uiterst opmerkelijk dat de EC aannames
maakt over de verwachte lastenverlichting, terwijl er geen impact assessment is verricht.
Deze leden vragen de Minister met klem om helderheid te geven over hoe deze schatting
tot stand is gekomen en om hier zo veel mogelijk informatie met de Kamer over te delen.

Antwoord

Het SWD biedt voldoende basis om te onderhandelen over de voorstellen die zich in
lijn met de kabinetsinzet focussen op versimpelen, verduidelijken en stroomlijnen.
Voor sommige voorstellen die verdergaan dan het versimpelen, verduidelijken en stroomlijnen
van wetgeving is het SWD echter onvoldoende om de effecten van de voorstellen te beoordelen.
Met betrekking tot de AVG geeft het SWD geen inschatting van de lastenverlichting
als gevolg de wijzigingen. Daarnaast stelt de EC in het SWD dat de wijzigingen het
niveau van gegevensbescherming niet verlagen, wat het kabinet betwijfelt.

Zoals aangegeven in de beantwoording op vraag 11 heeft het kabinet de EC verzocht
een uitgebreidere analyse te presenteren van de impact van de voorstellen die verdergaan
dan versimpeling. Het kabinet heeft daarnaast aangegeven dat het advies van de EDPS
in samenspraak met het EDPB moet worden betrokken bij de bespreking van deze voorstellen.
Ook brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart. Daarmee
zet het kabinet erop in de voorstellen die verdergaan dan versimpeling te behandelen
op een wijze die recht doet aan de potentiële impact en de zorgpunten. Een formeel
impact assessment is niet de enige manier om deze inzet te bewerkstelligen.

Zij lezen dat voor de aanpassing van de AVG ook Nederlandse regelgeving aangepast
moet worden. De leden van de GroenLinks-PvdA-fractie vragen de Minister om aan te
geven wanneer dit nader wordt onderzocht en wanneer dit duidelijk wordt.

Antwoord

In het BNC-fiche is ten aanzien van de wijzigingen van de AVG aangegeven dat deze
voorstellen «mogelijk» leiden tot wijziging van Nederlandse regelgeving, en dat dit
nader zal worden onderzocht. Omdat de voorstellen nu echter nog niet definitief zijn,
is het moeilijk nu al uitsluitsel te geven over welke aanpassing uiteindelijk nodig
zal zijn.

Niet uit te sluiten valt bijvoorbeeld dat een wetstechnische aanpassing nodig is van
artikel 40 van de Uitvoeringswet AVG in verband met de voorgestelde formulering van
artikel 22 AVG inzake geautomatiseerde individuele besluitvorming, tenzij de alternatieve
formulering van de EDPB en EDPS wordt overgenomen (zie hierover het antwoord op vraag
9). Verder biedt het voorgestelde artikel 88c de mogelijkheid om in de nationale wetgeving
te bepalen dat voor de verwerking van persoonsgegevens in AI-context uitdrukkelijk
toestemming vereist is. Indien Nederland hiervan gebruik zou willen maken, vergt dit
een wetswijziging. Er zijn vooralsnog geen indicaties voor overige (substantiële)
punten waarbij de voorgestelde wijzigingen van de AVG een wetswijziging met zich zouden
kunnen brengen. Verder lijkt de wijziging van de e-Privacyrichtlijn een kleine aanpassing
van hoofdstuk 11 van de Telecommunicatiewet te vergen.

Deze leden vrezen vertraging van de nationale implementatie van de AI-verordening.
Hoe langer onduidelijk blijft wat de omnibus voor wijzigingen gaat doorvoeren, hoe
groter het risico dat er de nationale implementatie nóg verder wordt vertraagd. Op
welke termijn verwacht de Minister de nationale implementatie van de AI-verordening
naar de Kamer te kunnen sturen?

Antwoord

De AI-verordening wordt gefaseerd van toepassing. Het eerstvolgende moment waarop
een aantal bepalingen van toepassing wordt, zijn 2 augustus 2026 (hoog-risico toepassingsgebieden
van Bijlage III, transparantie-eisen en de regulatory sandboxes) en 2 augustus 2027
(hoog-risico producten van Bijlage I). De voorstellen van de EC in de Digitale Omnibus
AI om deze tijdlijn te wijzigen, hebben directe gevolgen voor de organisaties die
aan de eisen uit de AI-verordening moeten voldoen.

Een aantal bepalingen uit de AI-verordening behoeft nog nationale uitvoering. Zo verplicht
de AI-verordening lidstaten om verschillende bevoegde instanties aan te wijzen, zoals
de toezichthouders. Over de inrichting van het nationale toezicht op de handhaving
van de AI-verordening wordt uw Kamer tegelijkertijd met de start van de openbare consultatie
voor burgers en bedrijven geïnformeerd.

Tot slot verwijzen zij naar de analyse van Corporate Europe Observatory, die een vergelijking
heeft gemaakt met de voorstellen uit de omnibusvoorstellen en de positie van de techlobby.
De leden van de GroenLinks-PvdA-fractie hebben grote zorgen over de mate waarmee de
techlobby de omnibusvoorstellen lijken te hebben beïnvloed. Dit onderstreept de zorgen
van deze leden dat de omnibussen met name ten goede komen aan de belangen van het
grootkapitaal, en niet de mkb’ers waar de EC voor op zegt te komen. Hoe kijkt de Minister
naar deze analyse? Lidstaten moeten zich volgens deze leden compleet bewust zijn van
deze lobby en tegenwicht bieden om burgers te beschermen. Zij vragen de Minister om
per artikel zijn zienswijze te delen en te reflecteren op waarom de techlobby hiervoor
zou pleiten. Kan de Minister verdere opheldering vragen van de EC over de contacten
die zij hebben gehad met lobbyisten, en in welke mate hun wensen zijn ingewilligd?
Welke contacten heeft de Minister gehad met lobbyisten om zijn standpunt te bepalen?

Antwoord

Bij uw vraag ga ik ervan uit dat u specifiek verwijst naar het artikel «Article by article, how Big Tech shaped the EU’s roll-back of digital rights»16. De voorgestelde wijzigingen die in het artikel worden benoemd zijn over het algemeen
wijzigingen waar het kabinet kritisch op is of zorgen over heeft omdat ze doelen van
de wetgeving afzwakken en in veel gevallen niet lijken bij te dragen aan het verlagen
van de regeldruk. Dit is in het BNC-fiche over de voorstellen toegelicht.

In het SWD dat tegelijk met de omnibusvoorstellen is gepresenteerd geeft de EC onder
andere in Annex I inzicht welke stakeholders het heeft geconsulteerd. Dit betreft
een brede groep stakeholders, waaronder zowel burgerrechtenorganisaties als grote
techbedrijven. Het kabinet ziet geen noodzaak hier verdere opheldering over te vragen.
In het algemeen is er vanuit mijn ministerie regelmatig contact met stakeholders en
zet het kabinet erop in bij de standpuntbepaling voor Europese voorstellen een brede
groep stakeholders te betrekken. Dit wordt ook gereflecteerd in het standpunt over
de omnibusvoorstellen. Ik heb zelf geen gesprekken gevoerd met lobbyisten van grote
Amerikaanse techbedrijven over deze omnibussen voor de totstandkoming van het kabinetsstandpunt.

De leden van de GroenLinks-PvdA-fractie verwachten een stevige inzet van Nederland
om de bezwaren, zorgen en vragen daadkrachtig in te brengen in Europees verband. Deze
leden vragen de Minister om daad bij woord te voegen en niet in te stemmen met de
omnibusvoorstellen als de zorgen niet volledig zijn weggenomen. Met welke Europese
lidstaten denkt de Minister samen op te kunnen trekken?

Antwoord

Het kabinet zet er in eerste instantie op in om de voorstellen op het voorstel in
lijn met de kabinetsinzet te verbeteren. Het kabinet heeft haar zorgen op deze punten
geuit en heeft amendementen ingediend die deze zorgen adresseren. Het kabinet zal
op basis van het uiteindelijke onderhandelingsresultaat beoordelen of het resultaat
voldoende in lijn is met de Nederlandse inzet.

Het kabinet kan niet ingaan op posities van specifieke landen in de onderhandelingen.
In het algemeen is er breed draagvlak onder de lidstaten voor het verlagen van regeldruk
en voor de omnibussen. Voor specifiek deze omnibussen is het krachtenveld nog lastig
te overzien. De standpuntvorming is in de meeste lidstaten nog bezig. Daarom maken
veel lidstaten nog een voorbehoud op hun inbreng en positie. Met betrekking tot de
zorgen over bepaalde wijzigingen aan de AVG en het Europees centraal meldpunt zijn
er meerdere lidstaten die vergelijkbare zorgen lijken te hebben. Er lijkt ook voldoende
steun om verschillende zorgen van het kabinet m.b.t. de Omnibus AI te adresseren,
zoals het verwijderen van de registratieplicht voor AI-systemen die in een hoog-risico
context worden gebruikt, maar zelf geen hoog risico creëren.

De leden van de CDA-fractie hebben kennisgenomen van de fiches en danken het kabinet
hiervoor. Deze leden maken graag van de gelegenheid gebruik om enkele vragen te stellen
aan het kabinet hierover.

Zij merken op dat in het fiche inzake Omnibus AI en Omnibus Digitaal verschillende
problemen – zoals regeldruk, uitvoerbaarheid, overlap in regelgeving en innovatiebelemmeringen
– naast elkaar worden genoemd. Kan het kabinet expliciet maken welk concreet probleem
met deze omnibussen primair wordt opgelost en hoe de voorgestelde maatregelen hier
aantoonbaar op aansluiten?

Antwoord

De voorstellen hebben als primaire doel regeldruk te verlagen. Regeldruk, uitvoerbaarheid,
overlap in regelgeving en innovatiebelemmeringen zijn aan elkaar gerelateerde problemen.
Overlap in regelgeving kan tot regeldruk leiden, net als regels die slecht uitvoerbaar
zijn. Regeldruk kan daarnaast een innovatiebelemmering zijn. Bij data- en platformwetgeving
wordt regeldruk primair verlaagd door overlap in wetgeving te verminderen. Rondom
met name de AI-verordening zien veel voorstellen op de uitvoerbaarheid, zoals aanvullende
richtsnoeren en maatregelen die het makkelijker voor bedrijven om aan de eisen uit
de verordening te voldoen.

De leden van de CDA-fractie constateren dat de Omnibus AI en Omnibus Digitaal worden
gepresenteerd als vereenvoudigingsvoorstellen, terwijl zij raken aan grondrechten,
toezicht, sanctiebevoegdheden en nationale veiligheid. Hoe beoordeelt het kabinet
of het omnibus-instrument passend is voor voorstellen met deze inhoudelijke en normatieve
zwaarte?

Antwoord

Zoals aangegeven in de beantwoording van vraag 3 zet het kabinet erop in deze wijzigingen
aan de AVG te behandelen op een wijze die recht doet aan de potentiële impact en de
zorgpunten. Zoals aangegeven in de beantwoording op vraag 11 heeft het kabinet daarom
de EC verzocht een uitgebreidere analyse te presenteren van de impact van de voorstellen
die verdergaan dan versimpeling. Het kabinet heeft daarnaast aangegeven dat het advies
van de EDPS in samenspraak met het EDPB moet worden betrokken bij de bespreking van
deze voorstellen.

Deze leden delen de zorgen over onderdelen van de Omnibus AI en Omnibus Digitaal waarbij
regeldrukreductie onvoldoende is onderbouwd, terwijl rechtszekerheid, grondrechten
en democratische controle onder druk kunnen komen te staan. Zij achten het van belang
dat vereenvoudiging niet leidt tot afzwakking van bestaande waarborgen en dat wezenlijke
keuzes niet verschuiven naar uitvoeringshandelingen zonder politieke weging. De leden
van de CDA-fractie vragen het kabinet hoe zij deze aandachtspunten in de verdere Europese
onderhandelingen zal borgen en op welke wijze en op welk moment de Kamer hierover
nader zal worden geïnformeerd.

Antwoord

Het kabinet zet er in eerste instantie op in om de voorstellen op deze punten in lijn
met de kabinetsinzet te verbeteren. Het kabinet zoekt daarvoor steun bij andere lidstaten.
Daarnaast zet het kabinet, zoals aangegeven in de beantwoording van vraag 29, erop
in dat bepaalde onderdelen van de omnibussen worden behandeld op een wijze die recht
doet aan de potentiële impact en de zorgpunten

In de beantwoording van het verzoek om reactie op informatieafspraken over EU-voorstel
Digitaal Pakket dat uw Kamer heeft gestuurd ga ik in op de manier waarop uw Kamer
over de voortgang van de onderhandelingen wordt geïnformeerd.

Deze leden nemen kennis van de zorgen van het kabinet over voorstellen waarbij verantwoordelijkheden
en afhandeling verschuiven naar Europees niveau, onder meer waar dit nationale bevoegdheden
en uitvoerbaarheid raakt. Zij vragen het kabinet hoe zij in de verdere behandeling
zal borgen dat vereenvoudiging niet leidt tot het verplaatsen van bestuurlijke verwarring,
onduidelijkheid of verschillen van interpretaties, maar daadwerkelijk bijdraagt aan
een overzichtelijker en beter uitvoerbaar stelsel, en hoe de Kamer hierover zal worden
geïnformeerd.

Antwoord

Het kabinet zet zich in voor effectieve EU-governance op digitale wetgeving die zorgt
voor een consistente toepassing van de wetgeving, ook over landsgrenzen heen. Het
verschuiven van bepaalde bevoegdheden naar EU-niveau of het versterken van samenwerking
tussen toezichthouders op EU-niveau kan in dit opzicht ook positief zijn. Het voorstel
draagt op een aantal punten bij aan een overzichtelijker en beter uitvoerbaar EU-stelsel,
bijvoorbeeld door ruimte te creëren de Europese Raad voor Gegevensinnovatie (EDIB)
effectiever in te richten en het toezicht op AI-systemen van zeer grote online platforms
en zoekmachines onder de bevoegdheid van de EC te plaatsen.

De zorgen met betrekking tot nationale bevoegdheden zien met name op het beoogde Europees
centraal meldpunt. Daarbij hecht het kabinet waarde aan het behoud van nationale meldstructuren,
zeker gezien de gevoeligheid van incidentinformatie en de aansluiting op bestaande
nationale werkwijzen. Het kabinet vindt het belangrijk dat vereenvoudiging en harmonisatie
van cybersecuritywetgeving daadwerkelijk bijdragen aan duidelijkheid en lagere regeldruk
voor bedrijven, zonder nieuwe uitvoeringsproblemen of interpretatieverschillen te
veroorzaken. Het kabinet volgt de verdere behandeling van de voorstellen en zal de
Kamer informeren over relevante ontwikkelingen tijdens de onderhandelingen.

Daarnaast is het kabinet kritisch zoals in het BNC-fiche aangegeven op een aantal
delegatiebevoegdheden die aan de EC worden toegekend omdat deze essentiële onderdelen
van de betreffende verordening betreffen. In de beantwoording van het verzoek om reactie
op informatieafspraken over EU-voorstel Digitaal Pakket dat uw Kamer heeft gestuurd,
ga ik in op de manier waarop uw Kamer over de voortgang van de onderhandelingen wordt
geïnformeerd.

De leden van de CDA-fractie merken op dat onderdelen van het Digitale Pakket in afzonderlijke
BNC-fiches worden beoordeeld. Hoe borgt het kabinet dat het parlement zicht houdt
op de cumulatieve effecten van deze voorstellen op grondrechten, uitvoeringslasten
en toezicht, en niet slechts per afzonderlijk dossier?

Antwoord

De verschillende voorstellen zijn in afzonderlijke fiches beoordeeld om recht te doen
aan de inhoud van de verschillende voorstellen en uw Kamer voor elk voorstel van een
betekenisvolle beoordeling te kunnen voorzien. De voorstellen hebben raakvlakken en
kunnen elkaar versterken, maar zijn inhoudelijk ook verschillend. Het kabinet houdt
daarbij nog steeds zicht op de cumulatieve effecten.

Deze leden constateren dat het kabinet in het fiche wijst op het belang van bestaande
nationale uitvoeringspraktijken en meldstructuren. Deze leden vragen het kabinet hoe
zij deze nationale ervaringen en werkende oplossingen concreet zal inbrengen in de
Europese onderhandelingen, en hoe wordt voorkomen dat Europese vereenvoudiging ten
koste gaat van maatwerk en effectief functionerende nationale systemen.

Antwoord

Het kabinet verwacht dat het verlagen van regeldruk meer efficiënt en tijdig kan worden
bereikt door voort te bouwen op bestaande nationale oplossingen in plaats van het
organiseren van een Europees meldpunt. Nationale meldstructuren en meldpunten sluiten
aan bij de manier van samenwerken en communiceren die entiteiten hebben met de Nederlandse
overheid. Het kabinet pleit er in de onderhandelingen voor deze nationale meldstructuren
en meldpunten in stand te houden, en zal zich hier actief voor inzetten tijdens de
onderhandelingen.

Zij zien ook dat de registratieplicht en de documentatie-inzage-bevoegdheid komen
te vervallen. De leden van de CDA-fractie vragen of dit nu echt leidt tot de gewenste
regeldrukvermindering. Ook zijn deze leden benieuwd naar de gevolgen hiervan voor
toezicht: wordt dat niet onnodig ingewikkelder op deze manier, voor bijvoorbeeld MKB?

Antwoord

Alhoewel een formeel impact assessment ontbreekt heeft de EC wel uitleg gegeven over
de gemaakte keuzes en de voorziene impact in het SWD dat tegelijk met het voorstel
is gepubliceerd. Voor wat betreft het schrappen van de registratieplicht in de AI-verordening
voor AI-systemen die in hoog-risico context worden gebruikt geeft de EC aan dat dit
slechts een beperkte lastenverlichting oplevert. Voor alle aanbieders van AI-systemen
in de EU levert het schrappen van de registratieplicht een lastenverlichting op van
in totaal € 150.000 per jaar. Het kabinet is kritisch op deze voorgestelde wijziging
omdat het de transparantie over het gebruik van AI-systemen in hoog-risicocontext
en bemoeilijkt het toezicht op deze systemen bemoeilijkt. Er lijkt voldoende steun
in de Raad voor behoud van deze registratieplicht.

Voor de voorgestelde wijzigingen aan de informatieplicht (artikel 13(4) AVG) geeft
het SWD geen kwantitatieve inschatting van de lastenverlichting. Het kabinet onderschrijft
dat sommige voorstellen uit de omnibussen de regeldruk niet wezenlijk lijken te verlagen,
waaronder deze voorgestelde wijziging. Het kabinet heeft daarom ten aanzien van verschillende
artikelen opheldering gevraagd aan de Commissie hierover of amendementen ingediend
om de voorstellen op deze onderdelen te verbeteren.

Zij vragen daarnaast hoe dit met de Omnibus voorstellen gefaciliteerd wordt. De leden
van de CDA-fractie zijn benieuwd naar de coördinatie hiervan: komen er aanspreekpunten
op nationaal niveau die ook in contact staan met Europese toezichthouders?

Antwoord

Het kabinet heeft in het kader van de omnibussen regelmatig contact met de (beoogde)
nationale toezichthouders voor de verschillende verordeningen over onder andere de
uitvoerbaarheid van de omnibusvoorstellen voor toezichthouders. De nationale toezichthouders
nemen deel aan de verschillende samenwerkingsverbanden voor het toezicht op de verordeningen
die onderdeel zijn van de omnibussen, zoals de EDPB en de Europese Raad voor Gegevensinnovatie
(EDIB). Voor de wetten waar Europees toezicht op is, nemen de Europese toezichthouders
ook deel aan deze samenwerkingsverbanden.

De leden van de JA21-fractie hebben kennisgenomen van de aanhangige stukken. Deze
leden steunen de inzet op minder regeldruk en een sterkere digitale interne markt,
maar «vereenvoudiging» mag geen afbouw van grondrechten of nationale veiligheid betekenen.
Zij constateren allereerst dat het ontbreken van een impact assessment bij dit type
ingrijpende voorstellen (AVG, cybersecurity governance) onvoldoende acceptabel is.
De leden van de JA21-fractie hebben verder de volgende vragen.

Allereerst vragen deze leden: kan het kabinet per onderdeel aangeven of het gaat om
(i) echte vereenvoudiging of (ii) inhoudelijke herijking (met name AVG en cybermeldpunt),
en welke NL-inzet hierbij hoort? Verder, wanneer verwacht het kabinet het EDPS-advies
en op welk moment wordt dat betrokken in de Raadsbehandeling?

Antwoord

Een belangrijk uitgangspunt van Nederlandse inzet voor deze omnibussen is dat de omnibussen
digitale wetgeving versimpelen, verduidelijken en stroomlijnen en dat de doelen van
de wetgeving daarbij overeind blijven. Daaruit volgt dat het kabinet in principe positief
staat tegenover vereenvoudigingsvoorstellen en voorstellen voor inhoudelijke herijking
kritisch beziet, zoals ook beschreven in het BNC-fiche.

De onderdelen van de omnibussen die datawetgeving wijzigen zien vooral op vereenvoudiging.
Het kabinet kan deze wijzigingen in grote mate steunen. Het kabinet ziet een aantal
fundamentele wijzigingen aan de AVG. Het kabinet heeft hier serieuze zorgen over en
zet erop in dat deze voorstellen worden behandeld op een manier die recht doet aan
de impact van de wijzigingen en de zorgen van het kabinet. Zoals uiteengezet in het
BNC-fiche, heeft Nederland serieuze zorgen over wijzigingen die het niveau van gegevensbescherming
wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het
verlagen van regeldruk. Vanzelfsprekend dient de bescherming van grondrechten gewaarborgd
te blijven.

Het voorstel voor een Europees meldpunt is gepresenteerd als een vereenvoudiging,
maar het kabinet betwijfelt of dit voorstel daadwerkelijk vereenvoudigt en heeft diverse
inhoudelijke bezwaren tegen het beoogde meldpunt. Het kabinet zet in op het behoud
van nationale verantwoordelijkheden, met name waar het gaat om de verwerking van gevoelige
incidentinformatie, nationale veiligheid en de uitvoerbaarheid van toezicht en handhaving.
Het kabinet kijkt daarbij kritisch naar de toegevoegde waarde, proportionaliteit en
risico’s van verdere centralisatie op EU-niveau.

Het schrappen van de Platform-to-Business-verordening beoogt alleen te vereenvoudigen.
Het kabinet steunt vereenvoudiging van platformwetgeving, maar het huidige voorstel
zorgt op bepaalde punten ook voor inhoudelijke herijking van platformwetgeving en
het toezicht daarop. Daarom zet het kabinet in op behoud van de verplichtingen die
voor de bescherming van gebruikers van platforms het meest van belang zijn. Tot slot
bevat de Omnibus AI verschillende wijzigingen die het voldoen aan de AI-verordening
vereenvoudigen en die het kabinet steunt en een aantal voorstellen die de verordening
inhoudelijk wijzigen en waar het kabinet kritisch op is of vragen bij heeft.

De gezamenlijke EDPB/EDPS-opinie voor de Omnibus AI is 21 januari gepresenteerd.17 De gezamenlijke EDPB/EDPS-opinie over de Omnibus Digitaal is 11 februari gepresenteerd.18

Zij vragen ook: welke concrete meetlat gebruikt het kabinet om regeldrukreductie te
kwantificeren (tijd, kosten, FTE), gegeven de Commissie-doelstelling van 25%/35% richting
2029?

Antwoord

Voor het analyseren van de verwachte regeldrukeffecten hanteert het Kabinet het zogenoemde
Standaard Kostenmodel (SKM). Een methodiek die internationaal wordt toegepast – ook
in Nederland – om regeldrukeffecten in kaart te brengen en te kwantificeren. Daarbij
wordt gekeken welke verplichting wordt geïntroduceerd, afgeschaft of vereenvoudigd,
wat het effect hiervan is op de handelingen (zowel aantal als frequentie) die de doelgroep
moet uitvoeren om aan de verplichting te kunnen voldoen en of dit gepaard gaat met
een tijdstoename of -besparing. Die tijdstoename of -besparing kan vervolgens worden
omgerekend naar een kosteneffect voor een individueel bedrijf en voor de gehele doelgroep
waar de maatregel betrekking op heeft. Normaliter horen voorstellen van de Commissie
gepaard te gaan met een uitgebreide Impact Assessment, waarbij de regeldrukeffecten
volgens deze systematiek worden gekwantificeerd. De uitkomsten van zo’n Impact Assessment
kan het kabinet vervolgens gebruiken om de effecten «te vertalen» naar de Nederlandse
situatie.

Voor dit specifieke voorstel ontbreekt een dergelijk Impact Assessment. Wel wordt
in het SWD dat met het voorstel is gepubliceerd een lastenreductie van € 1,3 miljard
per jaar voor Europese bedrijven genoemd. Het kabinet heeft de EC verzocht uitgebreidere
analyse van de impact van de voorstellen te presenteren en zal zich zelf ook inspannen
om een beter beeld te krijgen van de effecten van het voorstel. Hierbij zullen belanghebbenden
uiteraard zoveel mogelijk worden betrokken.

Inzake de Omnibus AI willen de leden JA21-fractie vragen: steunt het kabinet de voorkeur
voor vaste ingangsdata voor hoog-risico AI en verzet het zich tegen een «Commissiebesluit-draaiknop»?
Wat is de Nederlandse inzet met betrekking tot de uiterste data 2 dec 2027 / 2 aug
2028: wil het kabinet korter uitstel en, zo ja, met welke coalitie? Kan het kabinet
toelichten waarom het schrappen van de registratieplicht onwenselijk is voor transparantie
en toezicht, en welke alternatieven het ziet voor lastenreductie zonder transparantieverlies?
Als laatste: hoe beoordeelt het kabinet de uitbreiding van de wettelijke basis voor
verwerking van bijzondere persoonsgegevens voor bias-detectie naar alle AI-systemen/modellen,
en welke waarborgen/afbakening is minimaal vereist?

Antwoord

Het kabinet ziet liever dat wordt vastgehouden aan vaste data voor inwerkingtreding
van de bepalingen voor hoog-risico AI. De koppeling van inwerkingtreding aan een Commissiebesluit
brengt onzekerheid met zich mee. Het kabinet ziet voor hoog-risico AI-systemen in
bijlage III liever korter uitstel dan de huidige 16 maanden.

Het is in eerste instantie aan het oordeel van de aanbieder om te bepalen dat een
AI-systeem dat wordt gebruikt in een hoog-risico context op zichzelf geen hoog risico
veroorzaakt, bijvoorbeeld omdat het AI-systeem alleen procedurele taken uitvoert.
In dat geval hoeft de aanbieder zich niet aan de regels voor hoog-risico AI-systemen
te houden. Omdat de aanbieder zelf in eerste instantie deze beoordeling maakt en deze
AI-systemen nog steeds in een hoog-risico context worden toegepast is het belangrijk
dat toezichthouders kunnen toetsen of deze bepaling juist wordt toegepast. De registratieplicht
is essentieel voor toezichthouders om dit effectief te doen. Zonder registratieplicht
hebben toezichthouders geen inzicht hoeveel en welke AI-systemen actief zijn in een
hoog-risico context zonder aan de eisen van de AI-verordening te voldoen. De EC schat
dat de registratieplicht jaarlijks in totaal € 150.000 aan administratieve last oplevert
in de EU. Het kabinet acht dit proportioneel en ziet geen betere alternatieven.

Het kabinet bestudeert verder of de risico’s van de uitbreiding van de wettelijke
basis voor verwerking van bijzondere persoonsgegevens voor bias-detectie en -correctie
proportioneel zijn tot het doel en of deze risico’s voldoende kunnen worden beperkt.
Het kabinet hecht bij de beoordeling van dit onderdeel bijzonder belang aan de gezamenlijke
opinie van de EDPB/EDPS die 21 januari is gepresenteerd19.

Inzake AVG en ePrivacy hebben deze leden de volgende vragen: kan het kabinet concreet
aangeven welke AVG-wijzigingen het niveau van gegevensbescherming «wezenlijk» verminderen
en welke wijzigingen het kabinet daarom onacceptabel acht? Hoe borgt het kabinet dat
bevoegdheden niet verschuiven van onafhankelijke toezichthouders/EDPB naar de Commissie
op een manier die grondrechtenbescherming politiseert? Hoe kijkt het kabinet aan tegen
de grondslag «gerechtvaardigd belang» voor AI-training: welke begrenzing en controleerbaarheid
eist het kabinet?

Antwoord

Zoals is aangegeven in het BNC-fiche, is één van de voorgestelde wijzigingen aan de
AVG die de meeste impact lijkt te hebben op het niveau van gegevensbescherming de
wijziging van de definitie van het begrip persoonsgegevens. Dit begrip bepaalt immers
of de AVG – en alle rechten van betrokkenen – van toepassing is. Dat deze wijziging
de meeste impact zou hebben, is inmiddels bevestigd in het advies van de EDPB en EDPS
van 10 februari jl. Zij stellen dat deze wijziging zou leiden tot een aanzienlijke
beperking van het begrip persoonsgegeven en aldus van de reikwijdte van de AVG. De
EDPB en EDPS adviseren met klem om de wijziging van deze definitie niet te aanvaarden.
Er lijkt steun van meerdere lidstaten om deze wijziging terug te draaien.

Een andere wijziging die bijvoorbeeld impactvol lijkt te zijn is het voorstel voor
het creëren van grondslagen voor het verwerken van (met name bijzondere) persoonsgegevens
voor het trainen en exploiteren van AI-systemen. Dit voorstel lijkt nu vast te leggen
dat bij de training en exploitatie van een AI-model de grondslag «gerechtvaardigd
belang» per definitie is gegeven, zonder dat daarvoor een noodzakelijkheidstoets en
de bijbehorende belangenafweging noodzakelijk is. Het kabinet acht een noodzakelijkheidstoets
en de bijbehorende belangenafweging bij de toepassing van de grondslag gerechtvaardigd
belang echter essentieel om de grondrechten van burgers te waarborgen.

Het voorstel voorziet daarnaast ook in de verwerking van bijzondere persoonsgegevens
voor het trainen en exploiteren van AI-systemen; ook dit is een voorbeeld van een
wijziging met mogelijk grote impact op het beschermingsniveau. Zoals ook uiteengezet
in het BNC-fiche, genieten bijzondere persoonsgegevens juist extra bescherming vanwege
de gevolgen die de verwerking van deze bijzondere categorieën van persoonsgegevens
voor de betrokkenen kunnen hebben. Wanneer deze gegevens mogen worden verwerkt voor
genoemd doel, is het extra belangrijk dat er goede randvoorwaarden zijn. Zoals aangegeven
bij het antwoord op vraag 18, vergt het nadere beoordeling of deze bevoegdheden verder
moeten worden verruimd. Dit zou alleen aan de orde kunnen zijn als de fundamentele
rechten voldoende gewaarborgd zijn.

De EDPB en EDPS stellen in hun advies van 10 februari jl. dat de voorgestelde bepalingen
over de verwerking van bijzondere persoonsgegevens in AI-context op tal van punten
verbetering behoeven, onder meer om het toepassingsgebied ervan te verduidelijken
en om noodzakelijke waarborgen toe te voegen.

Daarnaast heeft het kabinet zorgen over het verschuiven van bevoegdheden van de EDPB
naar de EC en heeft hier verschillende vragen over gesteld aan de EC. Het kabinet
pleit er in de onderhandelingen voor dat deze bevoegdheden niet verschuiven naar de
EC. Er zijn verschillende lidstaten die dit standpunt steunen.

Zij vragen over het Cybersecurity meldpunt (ENISA single entry point) het volgende:
kan het kabinet uitleggen waarom een EU-single entry point nodig is bovenop bestaande
nationale meldplatformen, en welke risico’s levert dit op voor vitale infrastructuur/nationale
veiligheid? En kan er toelichting worden gegeven over de subsidiariteit in het kader
van de verdeling van bevoegdheden tussen nationale overheden en Europees? Is het kabinet
bereid in te zetten op een federatief model (nationale meldpunten primair, EU-standaarden
voor interoperabiliteit) in plaats van centralisatie? Heeft ENISA volgens het kabinet
voldoende mandaat/capaciteit om een dergelijk platform te beveiligen en te beheren?
Welke voorwaarden stelt het kabinet hiervoor?

Antwoord

Het kabinet heeft kennisgenomen van de voorstellen voor een Europees meldpunt, waaronder
het concept van een Single Entry Point (SEP). De precieze uitwerking, reikwijdte en
governance van dit SEP zijn op dit moment nog onvoldoende duidelijk. Hierdoor kan
het kabinet nog niet goed inschatten wat de gevolgen zijn voor bestaande nationale
meldplatformen en de verdeling van verantwoordelijkheden tussen nationaal en Europees
niveau.

Nederland beschikt reeds over goed functionerende nationale meldstructuren voor cyberincidenten,
waaronder incidenten die raken aan vitale infrastructuur en nationale veiligheid.
Het kabinet volgt daarom kritisch de vraag naar de noodzakelijkheid en toegevoegde
waarde van een Europees meldpunt bovenop bestaande nationale systemen, mede in het
licht van subsidiariteit, effectiviteit en beveiligingsrisico’s.

Ten aanzien van de rol van ENISA benadrukt het kabinet dat de praktische uitvoerbaarheid,
het mandaat en de capaciteit van ENISA om een Europees meldpunt te beheren en adequaat
te beveiligen nog onvoldoende zijn uitgewerkt. Deze aspecten, waaronder de omgang
met zeer gevoelige incidentinformatie, zullen door het kabinet nadrukkelijk worden
betrokken in de verdere onderhandelingen.

Het kabinet volgt de verdere behandeling van deze voorstellen en zal aandacht blijven
vragen voor subsidiariteit, proportionaliteit, uitvoerbaarheid en de bescherming van
nationale veiligheidsbelangen.

De leden van de JA21-fractie vragen of het kabinet kan onderbouwen waarom P2B zou
kunnen verdwijnen zonder verlies aan rechtszekerheid/handhaving, gezien de constatering
dat P2B complementair is aan de DSA/DMA en ACM meldingen ontvangt? Is het kabinet
bereid als inzet te kiezen: P2B behouden óf gelijkwaardige handhaafbare bescherming
elders vastleggen, inclusief de rol van de ACM?

Antwoord

Volgens de EC is er sprake van verregaande overlap en slechts kleine verschillen tussen
de bepalingen in de P2B-verordening en de DMA en DSA. De voordelen van het schrappen
van de P2B zouden daarom opwegen tegen het verlies aan beschermingsniveau voor gebruikers.
Met het oog op het verminderen van regeldruk en het bevorderen van gerichte en doeltreffende
handhaving steunt het kabinet het schrappen van overlappende en overbodige bepalingen
in de P2B. Dit geldt echter niet voor alle bepalingen in de P2B, aangezien een aantal
bepalingen uit de P2B complementair zijn aan de regels in de Digitale Marktenverordening
(DMA) en Digitale dienstenverordening (DSA).

Het kabinet is daarom van mening dat het volledig schrappen van de P2B te rigoureus
is en pleit voor een gerichtere aanpak. Een deel van de bepalingen uit de P2B is complementair
aan de DMA en de DSA. Het schrappen van deze bepalingen leidt tot verlies aan rechtszekerheid
voor ondernemers die hun goederen of diensten aanbieden via kleinere platforms. Het
volledig schrappen van de P2B-verordening zal er ook toe leiden dat de ACM niet meer
in alle gevallen kan handhaven op de verplichtingen die de P2B momenteel oplegt aan
onlinetussenhandelsdiensten en onlinezoekmachines. Dat terwijl de ACM in de afgelopen
periode meerdere klachten en handhavingsverzoeken heeft ontvangen die betrekking hebben
op het niet naleven van deze verplichtingen.

De inzet van het kabinet is daarom om de belangrijkste bepalingen uit de P2B en het
toezicht hierop te behouden. Het kabinet richt zich daarbij primair op de transparantieverplichtingen
voor platforms op het gebied van bijvoorbeeld rangschikking (artikel 5) en gedifferentieerde
behandeling (artikel 7). Het kabinet trekt hierbij gezamenlijk op met lidstaten die
eveneens kritisch staan tegenover het volledig schrappen van de P2B-verordening.

Tot slot vragen deze leden: kan het kabinet de Kamer tussentijds informeren over het
krachtenveld in de Raad (welke lidstaten steunen welke lijn), met name rond het EU-meldpunt?

Antwoord

Het kabinet kan niet ingaan op posities van specifieke landen in de onderhandelingen.
Zoals aangegeven in de beantwoording van vraag 27 is er in het algemeen breed draagvlak
onder de lidstaten voor het verlagen van regeldruk en voor de omnibussen. Voor specifiek
deze omnibussen is het krachtenveld nog lastig te overzien. De standpuntvorming is
in de meeste lidstaten deels nog bezig en het krachtenveld verschilt voor de diverse
onderwerpen en wetten die in de omnibus samenkomen. Met betrekking tot de zorgen over
bepaalde wijzigingen aan de AVG en het Europees centraal meldpunt zijn er meerdere
lidstaten die vergelijkbare zorgen lijken te hebben. Ik zal uw Kamer conform de informatie-afspraken
informeren over het krachtenveld.

De leden van de BBB-fractie hebben met interesse kennisgenomen van het Fiche: Omnibus
AI en Omnibus Digitaal (Kamerstuk 22 112-4223) en hebben nog enkele vervolgvragen. Deze leden lezen dat de EC met deze omnibussen
streeft naar een vermindering van de administratieve lasten met 25% voor het bedrijfsleven.
Hoe beoordeelt de Minister de praktische haalbaarheid van deze doelstelling voor het
Nederlandse middel- en kleinbedrijf (mkb), gezien het feit dat de Commissie geen impact
assessment heeft uitgevoerd en het kabinet zelf aangeeft dat het effect op de regeldruk
nog onduidelijk is?

Antwoord

Het kabinet heeft ervoor gepleit om bestaande regels systematisch tegen het licht
te houden om waar mogelijk regeldruk te verminderen en steunt daarom de omnibusaanpak
van de EC. De geformuleerde doelstelling van een vermindering van de administratieve
lasten met 25% komt voort uit de EU-agenda voor betere regelgeving, waar de omnibussen
onderdeel van zijn. Niet elke omnibus hoeft op zichzelf 25% regeldrukreductie op te
leveren.

Alhoewel een formeel impact assessment ontbreekt heeft de EC wel uitleg gegeven over
de gemaakte keuzes en de voorziene impact in het SWD dat tegelijk met het voorstel
is gepubliceerd. Zoals aangegeven in het BNC-fiche betwijfelt het kabinet voor sommige
voorgestelde wijzigingen, zoals het Europees meldpunt, of deze effectief de regeldruk
verlagen voor Nederlandse bedrijven.

Zij lezen verder dat in de huidige AI-verordening vaste data staan voor de inwerkingtreding
van regels voor hoog-risico AI-systemen. De Commissie stelt nu voor om deze data uit
te stellen. Het uitstel zou neerkomen op 12 tot 16 maanden ten opzichte van de oorspronkelijke
planning. Kan de Minister toelichten waarom de Commissie de bevoegdheid opeist om
de deadlines voor de AI-verordening te vervroegen wanneer zij vindt dat standaarden
voldoende zijn ontwikkeld? Deelt u de mening van de leden van de BBB-fractie dat dit
zorgt voor grote onzekerheid en onvoorspelbaarheid voor ondernemers, en bent u bereid
vast te houden aan harde, vaste data voor de inwerkingtreding?

Antwoord

De EC stelt voor deze bevoegdheid te creëren zodat de inwerkingtreding van deze bepalingen
wordt gekoppeld aan de beschikbaarheid van voldoende ondersteuningsmaatregelen om
aan de AI-verordening te voldoen. Het kabinet deelt de mening dat de koppeling van
inwerkingtreding aan een Commissiebesluit onzekerheid met zich mee brengt. Het kabinet
ziet liever dat wordt vastgehouden aan vaste data voor inwerkingtreding van de bepalingen
over hoog-risico AI-systemen. Er lijkt voldoende steun in de Raad om de koppeling
van inwerkingtreding aan een Commissiebesluit te verwijderen.

Deze leden lezen dat het voorstel de registratieplicht schrapt voor bepaalde hoog-risico
AI-systemen die volgens de aanbieder geen significant risico vormen. Deelt de Minister
de mening dat dit de transparantie over AI-gebruik in de samenleving verslechtert
en het toezicht bemoeilijkt, terwijl de feitelijke verlichting van de regeldruk hierdoor
slechts beperkt lijkt?

Antwoord

Het kabinet deelt deze mening. Het verwijderen van deze registratieplicht verlaagt
de transparantie over het gebruik van AI-systemen in hoog risico context en bemoeilijkt
het toezicht op deze systemen. Bovendien levert deze maatregel slechts een beperkte
verlichting van regeldruk op. Er lijkt voldoende steun in de Raad om deze registratieplicht
te behouden.

Zij lezen dat de Commissie de definitie wil wijzigen om deze in lijn te brengen met
het zogenaamde Single Resolution Board-arrest. In hoeverre acht de Minister het wenselijk
dat de definitie van persoonsgegevens wordt gewijzigd en dat de verwerking van bijzondere
persoonsgegevens (zoals ras of gezondheid) voor het trainen van álle AI-modellen wordt
toegestaan onder de noemer «gerechtvaardigd belang»? Welke risico's ziet u hier voor
de bescherming van de grondrechten van burgers nu de noodzakelijkheidstoets en belangenafweging
lijken te worden gepasseerd?

Antwoord

Zoals uiteengezet in het BNC-fiche, is één van de voorgestelde wijzigingen aan de
AVG die de meeste impact lijkt te hebben op het niveau van gegevensbescherming, de
wijziging van de definitie van het begrip persoonsgegevens. Dit begrip bepaalt immers
of de AVG – en alle rechten van betrokkenen – wel of niet geldt. Deze wijziging roept
bij het kabinet veel vragen op, zoals nader toegelicht in het antwoord op vraag 17.

Ook het toestaan van de verwerking van bijzondere persoonsgegevens voor het trainen
en exploiteren van AI-systemen is een voorbeeld van een wijziging met mogelijk grote
impact op het beschermingsniveau. Daarbij lijkt het voorstel vast te leggen dat training
en exploitatie van een AI-model de grondslag «gerechtvaardigd belang» per definitie
is gegeven zonder dat een noodzakelijkheidstoets en de bijbehorende belangenafweging
moet plaatsvinden. Hierop wordt nader ingegaan in het antwoord op vraag 39.

De leden van de BBB-fractie lezen dat het EU AI Office maar liefst 38 extra FTE nodig
heeft voor de uitvoering van deze nieuwe taken. Hoe rijmt de Minister deze uitbreiding
van de Brusselse bureaucratie met de bredere doelstelling van het pakket om de regeldruk
en administratieve lasten juist te verminderen?

Antwoord

Het centraliseren van toezicht op EU-niveau, zeker voor zeer grote bedrijven, kan
de effectiviteit van toezicht versterken. Dit hoeft niet haaks te staan op het verminderen
van regeldruk en administratieve lasten. Het kabinet bestudeert wel nog of met de
nieuwe toezichtstaken van de EC de afbakening van bevoegdheden tussen nationale toezichthouders
en de EC voldoende duidelijk is.

Deze leden lezen dat het voorstel het EU-agentschap voor cyberbeveiliging (ENISA)
de opdracht geeft een centraal meldpunt in te richten voor incidenten die vallen onder
de CRA, NIS2, CER, DORA, eIDAS en de AVG. Wat zijn de risico's van het voorgestelde
Europese centrale meldpunt voor incidenten voor onze nationale veiligheid, aangezien
meldingen over de rijksoverheid en vitale infrastructuur hiermee naar EU-niveau verschuiven?
Deelt u de zorg dat dit de effectiviteit van incidentafhandeling schaadt door de afstand
tot nationale experts te vergroten?

Antwoord

Zoals uiteengezet in het BNC-fiche, heeft het kabinet zorgen omtrent beveiligingsrisico’s
als het gaat om het centraliseren van dergelijke meldplichten binnen één meldpunt.
Het verwerken van zeer gevoelige meldingen, en in het bijzonder incidentinformatie
van 27 lidstaten is namelijk erg kwetsbaar en een zaak van nationale veiligheid. Daarnaast
sluiten nationale meldstructuren en meldpunten aan bij de manier van samenwerken en
communiceren die entiteiten hebben met de Nederlandse overheid, terwijl het centraliseren
van de meldplichten naar EU-niveau de administratieve lasten voor entiteiten juist
verhoogt. Dit zou een belemmering kunnen vormen voor de tijdige afhandeling van cyberincidenten.

Zij lezen dat in dit voorstel de P2B-verordening in zijn geheel wordt geschrapt. De
Commissie voert aan dat de verplichtingen uit de P2B-verordening inmiddels overlappen
met nieuwere wetgeving, zoals de Digitaledienstenverordening (DSA) en de Digitalemarktenverordening
(DMA). Opvallend is dat de Commissie geen impact assessment heeft uitgevoerd om de
gevolgen van dit besluit te onderbouwen. Kan de Minister concreet maken wat het schrappen
van de P2B-verordening betekent voor de bescherming van kleine ondernemers en boeren
die via digitale platforms handelen? Loopt het mkb hiermee niet het risico op minder
rechtszekerheid en een slechtere positie tegenover grote machtige platforms, aangezien
de ACM hiermee mogelijk toezichtsbevoegdheden verliest?

Antwoord

Voor het antwoord op de vraag over de concrete gevolgen van het schrappen van de P2B-verordening
verwijs ik naar het antwoord op vraag 22. Ten aanzien van de positie van het midden-
en kleinbedrijf in verhouding tot de grootste online platforms geldt dat de DMA onverkort
van kracht blijft. De DMA biedt ondernemers in veel gevallen verdergaande bescherming
tegen oneerlijke praktijken van platforms die als poortwachters zijn aangewezen. De
EC houdt toezicht op de naleving van de DMA en wordt daarbij in Nederland ondersteund
door de ACM.

De leden van de BBB-fractie lezen dat in de voorgestelde Omnibus AI de EC haar handhavingsbevoegdheden
wil uitbreiden voor specifieke categorieën AI-systemen waarvoor zij zelf het markttoezicht
gaat uitvoeren. Het gaat hierbij om: 1) AI-systemen die gebaseerd zijn op AI-modellen
voor algemene doeleinden, 2) AI-systemen die onderdeel zijn van een zeer groot online
platform (VLOP) of een zeer grote online zoekmachine. Voor deze systemen stelt de
Commissie voor om via uitvoeringshandelingen (een vorm van lagere regelgeving) de
details van de handhavingsbevoegdheden te bepalen, waaronder de hoogte van de boetes
en de aard van de sancties.

Hoe beoordeelt de Minister het voorstel om de Commissie de bevoegdheid te geven zelf
boetes en sancties op te leggen via uitvoeringshandelingen voor bepaalde AI-systemen?
Deelt u de mening dat sancties een politieke afweging vereisen en daarom altijd in
de basishandeling (de verordening zelf) moeten staan, in plaats van via een achterdeur
door de Commissie te worden bepaald?

Antwoord

Zoals aangegeven in het BNC-fiche vindt het kabinet dat het toekennen van sanctiebevoegdheden
behoort tot de essentiële onderdelen van de basishandeling. Het kabinet zet er daarom
op in dat deze bevoegdheden in de verordening zelf worden opgenomen.

De leden van de BBB-fractie lezen tot slot dat het kabinet de proportionaliteit van
veel maatregelen nog niet goed kan beoordelen door het ontbreken van analyses. Is
de Minister bereid om de besluitvorming in de Raad te vertragen totdat er een gedegen
analyse ligt over de impact op zowel de regeldruk als de grondrechten van Nederlandse
ondernemers en burgers?

Antwoord

Alhoewel een formeel impact assessment ontbreekt heeft de EC wel uitleg gegeven over
de gemaakte keuzes en de voorziene impact in het SWD dat tegelijk met het voorstel
is gepubliceerd.

Zoals aangegeven in het antwoord op vraagt 23 biedt het SWD volgens de EC voldoende
basis om te onderhandelen over de voorstellen die zich in lijn met de kabinetsinzet
focussen op versimpelen, verduidelijken en stroomlijnen. Voor sommige voorstellen
die verdergaan dan het versimpelen, verduidelijken en stroomlijnen van wetgeving maakt
het ontbreken van een impact assessment het moeilijk voor het kabinet om de effecten
te beoordelen.

Het kabinet heeft de EC verzocht een uitgebreidere analyse van de impact van deze
voorstellen te presenteren. Het kabinet heeft daarnaast aangegeven dat het advies
van de EDPS en EDPB moet worden betrokken bij de bespreking van deze voorstellen.
Ook brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart. Daarmee
zet het kabinet erop in de voorstellen die verdergaan dan versimpeling te behandelen
op een wijze die recht doet aan de potentiële impact en de zorgpunten. Een formeel
impact assessment is niet de enige manier om deze inzet te bewerkstelligen.

Download