Brief commissie : Brief van de tijdelijke commissie Grondrechten en Constitutionele toetsing over een advies op verzoek van de vaste commissie voor Digitale Zaken over EU-voorstel: Verordening Digitale Omnibus COM (2025) 837

Nr. 4301
BRIEF VAN DE TIJDELIJKE COMMISSIE GRONDRECHTEN EN CONSTITUTIONELE TOETSING

Aan de Leden

Den Haag, 2 april 2026

De tijdelijke commissie Grondrechten en Constitutionele toetsing (hierna: de tijdelijke
commissie) heeft tijdens haar procedurevergadering van 5 maart 2026 besloten naar
aanleiding van het verzoek van de vaste commissie voor Digitale Zaken van 25 februari
2026 (2026D08516) een adviestraject te starten over constitutionele en grondrechtelijke aspecten in
het voorstel voor EU-verordening Digitale Omnibus COM (2025) 837. De vaste commissie
voor Digitale Zaken is hierover geïnformeerd met een brief van 5 maart 2026 (2026D10051). De vaste commissie voor Digitale Zaken heeft verzocht om in het bijzonder in te
gaan op de grondrechtelijke bescherming van persoonsgegevens, met specifieke aandacht
voor wijzigingen in AVG-grondslagen en artikel 9 AVG, evenals mogelijke andere grondrechtelijke
of constitutionele aandachtspunten die de tijdelijke commissie van belang acht.

Doel en inhoud van de Digitale Omnibus: minder regeldruk en een betere concurrentiepositie

De afgelopen jaren heeft de Europese digitale regelgeving zich sterk ontwikkeld. Onder
meer door de komst van nieuwe technologieën als AI, de wens om de economische potentie
van data beter te ontsluiten en het streven om de fundamentele rechten van burgers
goed te (blijven) beschermen, zijn er diverse nieuwe regels bijgekomen. Hierdoor is
er een veelomvattend, maar ook complex wettelijk kader ontstaan. Met de Digitale Omnibus1 wil de Europese Commissie (de Commissie) regelgeving in het digitale domein vereenvoudigen.
Het achterliggende doel hiervan is om de lasten voor bedrijven, overheden en burgers
te verminderen en het concurrentievermogen van de Europese Unie (EU) – specifiek in
het digitale domein – te stimuleren, zonder dat dit afbreuk doet aan de bescherming
van fundamentele rechten. De tijdelijke commissie merkt op dat de Digitale Omnibus
hiermee past binnen een breder streven op zowel Europees als nationaal niveau. Zo
wordt onder meer in het rapport-Draghi2, het rapport-Wennink3 en in de Kamer4 het belang onderstreept van het tegengaan van regeldruk en het versterken van de
Europese en Nederlandse concurrentiepositie.

Omdat de Digitale Omnibus bestaat uit een groot aantal – veelal technische – vereenvoudigingsmaatregelen
in diverse Europese verordeningen en richtlijnen, richt de tijdelijke commissie zich
in dit advies op een aantal specifieke onderdelen van de Digitale Omnibus die zien
op het aanpassen van de Algemene Verordening Gegevensbescherming (AVG). Het gaat dan
bijvoorbeeld om het voorstel om de definitie van persoonsgegevens te wijzigen, voorstellen
voor aanvullende grondslagen voor de verwerking van (bijzondere) persoonsgegevens
voor AI en voorstellen om de AVG-rechten van burgers te wijzigen. Hiermee sluit de
tijdelijke commissie aan op het verzoek van de vaste commissie voor Digitale Zaken
en richt zij zich op voorstellen met gevolgen voor fundamentele rechten en beginselen,
in het bijzonder het recht op bescherming van persoonsgegevens en de rechtszekerheid.

Het recht op bescherming van persoonsgegevens en de rechtszekerheid

Het recht op bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest
van de Grondrechten van de EU (het Handvest), artikel 8 van het Europees Verdrag van
de Rechten van de Mens (EVRM) en artikel 10 van de Grondwet. In de AVG is het recht
op bescherming van persoonsgegevens nader uitgewerkt. Kort samengevat geldt dat, wanneer
er sprake is van een inmenging in het recht op bescherming van persoonsgegevens, dit
moet worden gebaseerd op een duidelijke wettelijke grondslag en dat deze inmenging
noodzakelijk en proportioneel moet zijn. De tijdelijke commissie wijst erop dat, wanneer
er nieuwe regels voor de verwerking van persoonsgegevens worden voorgesteld – zoals
in de Digitale Omnibus het geval is – hiervan óók de noodzaak en proportionaliteit
zorgvuldig moeten worden gemotiveerd. Voor bijzondere persoonsgegevens gelden bovendien
strikte regels. Omdat deze gegevens zien op de wezenlijke kenmerken van iemands identiteit
– zoals informatie over iemands gezondheid, geaardheid, etniciteit of politieke voorkeur
– mogen deze gevoelige gegevens in beginsel niet worden verwerkt.

De rechtszekerheid is een algemeen rechtsbeginsel waaruit volgt dat het voor iedereen
in redelijke mate voorzienbaar moet zijn wat de rechtsgevolgen van bepaald gedrag
zijn. De rechtszekerheid is hierdoor een belangrijk element voor het vertrouwen in
het rechtssysteem.5 De tijdelijke commissie onderstreept dat de rechtszekerheid hierdoor ook van invloed
is op het ondernemingsklimaat en de concurrentiepositie. Wanneer regelgeving duidelijk,
voorspelbaar en uitvoerbaar is, hebben zowel burgers als ondernemers hier immers baat
bij.6

De Europese wetgevingsprocedure en het advies van de tijdelijke commissie

De Digitale Omnibus is een Europees voorstel. Dat betekent dat niet de nationale,
maar de Europese wetgevingsprocedure hierop van toepassing is. De tijdelijke commissie
merkt in dit verband op dat de Europese wetgevingsprocedure ten tijde van de vaststelling
van dit advies nog gaande is. De Commissie heeft het voorstel voor een Digitale Omnibus
gepubliceerd, maar de posities van de Raad of het Europees Parlement (EP) zijn nog
niet bekend. De triloog, waarin de Commissie, Raad en het EP onderhandelen over de
uiteindelijke wettekst, is ten tijde van dit advies dan ook nog niet van start gegaan.
Waar de tijdelijke commissie in dit advies adviseert om bepaalde informatie op te
vragen bij de Commissie, geldt dat de leden van de vaste commissie voor Digitale Zaken
dit gedurende de Europese wetgevingsprocedure op verschillende manieren kunnen doen.
Naast een verzoek aan het kabinet om de desbetreffende informatie bij de Commissie
op te vragen, kan de Kamer dergelijke verzoeken ook rechtstreeks tot de Commissie
richten via een politieke dialoog.7

A. De motivering van de voorgestelde wijzigingen van de AVG

De AVG is in het leven is geroepen voor twee doelen. Naast het stellen van regels
over de bescherming van persoonsgegevens heeft de AVG ook als doel om het vrij verkeer
van persoonsgegevens binnen de EU te stimuleren, om zo de (digitale) economie en de
Europese interne markt te versterken.8 De voorstellen tot wijziging van de AVG in de Digitale Omnibus passen volgens de
Commissie binnen deze doelen en zijn louter technisch van aard. De voorstellen bevatten volgens de Commissie namelijk geen beleidsmatige
wijzigingen, maar dienen alleen ter verlaging van de regeldruk en het versterken van
de Europese concurrentiepositie. De tijdelijke commissie merkt op dat deze redenering
gevolgen heeft voor de motivering van de Digitale Omnibus: bij technische voorstellen
wordt namelijk geen impact assessment uitgevoerd.

In dit licht signaleert de tijdelijke commissie dat de voorstellen tot wijziging van
de AVG verder lijken te gaan dan louter technische wijzigingen. Dit geldt bijvoorbeeld
voor het voorstel om de definitie van persoonsgegevens aan te passen, of het voorstel
om meer ruimte te geven aan de verwerking van (bijzondere) persoonsgegevens voor AI.9 Ook het samenwerkingsverband van Europese privacytoezichthouders – de European Data
Protection Board (EDPB) – wijst er in haar advies aan de Commissie op dat de Digitale
Omnibus verder strekt dan louter technische wijzigingen.10 Het kabinet stelt zich eveneens op dit standpunt en uit serieuze zorgen bij fundamentele
wijzigingen van de AVG die het niveau van gegevensbescherming wezenlijk verminderen,
zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk.11

De tijdelijke commissie benadrukt dat een impact assessment relevante informatie bevat
voor het motiveren van de noodzaak en proportionaliteit van voorstellen die raken
aan grondrechten. Het doel van de Digitale Omnibus is immers het vereenvoudigen en
verduidelijken van de huidige regels – in het bijzonder voor het midden- en kleinbedrijf
(MKB) – zonder afbreuk te willen doen aan de bescherming van persoonsgegevens.12 De voorgestelde wijzigingen van de AVG raken hierdoor onder meer aan het recht op
bescherming van persoonsgegevens en aan de rechtszekerheid. In dit verband wijst de
tijdelijke commissie erop dat uit de richtlijnen van de Commissie volgt dat juist
aan deze twee aspecten – de gevolgen voor het MKB en de gevolgen voor grondrechten
– in een impact assessment bijzondere aandacht zou zijn besteed.13 Voor een zorgvuldige beoordeling van de voorstellen tot wijziging van de AVG zou
het van toegevoegde waarde zijn om deze informatie alsnog te krijgen.

De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om – bij
het ontbreken van een impact assessment – het kabinet te vragen de Europese Commissie
te verzoeken om een nadere motivering van de noodzaak en proportionaliteit van de
onderdelen van de Digitale Omnibus die zien op het wijzigen van de AVG.

De tijdelijke commissie adviseert om te verzoeken of in deze nadere motivering in
ieder geval kan worden ingegaan op twee deelonderwerpen waaraan volgens de richtsnoeren
van de Europese Commissie in een impact assessment bijzondere aandacht zou zijn besteed:

– de verwachte gevolgen voor MKB’ers, in het bijzonder ten aanzien van het beoogde doel
om meer rechtszekerheid te bieden;

– de verwachte impact op grondrechten, in het bijzonder ten aanzien van het recht op
bescherming van persoonsgegevens.

B. Wijziging van de definitie van «persoonsgegevens» (artikel 4, onderdeel 1 van de
AVG)

De Digitale Omnibus bevat een voorstel om de definitie van persoonsgegevens in de
AVG aan te passen. Het betreft volgens de Commissie een technische wijziging om de
wettekst – met het oog op de rechtszekerheid – in lijn te brengen met een recente
uitspraak van het Hof van Justitie van de Europese Unie (HvJ-EU).14 Kort samengevat, wordt voorgesteld om aan de definitie van persoonsgegevens toe te
voegen dat gegevens die voor de ene entiteit wel persoonsgegevens zijn, niet noodzakelijkerwijs ook persoonsgegevens voor een andere entiteit hoeven te zijn.15

De tijdelijke commissie merkt op dat de definitie van persoonsgegevens van fundamenteel
belang is omdat deze bepaalt of de AVG – en alle rechten en plichten die daarin zijn
opgenomen – van toepassing is. Een wijziging van deze definitie heeft hierdoor gevolgen
voor de reikwijdte van het recht op bescherming van persoonsgegevens en de rechten
die burgers op basis van de AVG hebben.16 Een onderbouwing van de noodzaak en proportionaliteit van de voorgestelde definitiewijziging
in relatie tot de bescherming van persoonsgegevens op grond van artikel 8 van het
Handvest is hierdoor onontbeerlijk om de voorstellen van de Commissie zorgvuldig te
kunnen wegen. Op dit moment ontbreekt een dergelijke onderbouwing.

De tijdelijke commissie signaleert dat de voorgestelde wijziging bovendien verder
lijkt te gaan dan enkel een (technische) codificatie van jurisprudentie. Ook het kabinet
wijst hierop.17 De EDPB merkt in dit verband op dat de nieuwe definitie van persoonsgegevens in de
praktijk juist tot minder rechtszekerheid en een verminderde bescherming van persoonsgegevens
kan leiden. Zo wijst de EDPB erop dat de Commissie ervoor kiest om één specifieke
uitspraak van het HvJ-EU te codificeren, zonder daarbij in te gaan op de specifieke
context van die uitspraak of op andere relevante jurisprudentie. Ook bestaat volgens
de EDPB het risico dat organisaties aan de hand van de nieuwe definitie van persoonsgegevens
voortaan een kunstmatig onderscheid kunnen aanbrengen in verschillende soorten informatie.
Hierdoor kan informatie buiten de definitie van persoonsgegevens – en daarmee buiten
de reikwijdte van de AVG – worden gehouden. Voor burgers heeft dit gevolgen voor hun
recht op bescherming van persoonsgegevens omdat zij in dat geval hun AVG-rechten verliezen,
zoals het recht op inzage of verwijdering. Ook vanuit ondernemerszijde wordt opgemerkt
dat – hoewel de definitiewijziging van persoonsgegevens wordt verwelkomd – de voorgestelde
wettekst met oog op de rechtszekerheid enige verduidelijking behoeft.18

In dit licht merkt de tijdelijke commissie op dat uit de door de Commissie aangehaalde
jurisprudentie inderdaad volgt dat informatie niet als een persoonsgegeven hoeft te gelden wanneer de desbetreffende houder van die
informatie zelf niet over de middelen beschikt om de informatie te relateren aan een
identificeerbare persoon, maar dat uit andere jurisprudentie volgt dat dit soms ook
wel het geval kan zijn.19 Hoewel de Commissie met het voorstel beoogt meer rechtszekerheid te bieden, is het
– door de keuze om een specifieke uitspraak te codificeren – de vraag of de nieuwe
definitie van persoonsgegevens in de praktijk daadwerkelijk tot meer duidelijkheid
zal leiden.

De tijdelijke commissie merkt tot slot op dat de voorgestelde definitiewijziging bovendien
een aantal aanvullende vragen oproept. Zo bevat de AVG regels voor situaties waarin
persoonsgegevens worden gedeeld door verschillende organisaties20 of worden doorgezet naar een andere organisatie binnen of buiten de Europese Unie.21 De tijdelijke commissie merkt op dat in de toelichting bij de Digitale Omnibus niet
wordt uitgelegd hoe de nieuwe definitie van persoonsgegevens doorwerkt in dergelijke
situaties. Hierdoor bestaat de mogelijkheid dat informatie binnen de ene organisatie
wel als persoonsgegeven wordt beschouwd en in de andere organisatie niet. Evenmin
wordt uitgelegd op welke manier de definitiewijziging doorwerkt in andere (Europese)
regelgeving die verwerking van persoonsgegevens mogelijk maakt. Dit geldt bijvoorbeeld
op het terrein van politie, justitie en grensbewaking.22 En hoewel er in de toelichting bij het Omnibusvoorstel wordt ingegaan op het bieden
van meer duidelijkheid aan ondernemers, wordt niet gereflecteerd op de mogelijke gevolgen
van de definitiewijziging voor de publieke sector. Wanneer de Kamer meer inzicht zou
hebben in deze punten, wordt het beter mogelijk om de gevolgen van de voorgestelde
definitiewijziging te kunnen beoordelen.

De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om het kabinet
te vragen de Europese Commissie te verzoeken om een onderbouwing van de noodzaak en
proportionaliteit van de voorgestelde definitiewijziging van persoonsgegevens in het
licht van het recht op bescherming van persoonsgegevens. De tijdelijke commissie adviseert
om hierbij ook aandacht te vragen voor de doorwerking van deze definitiewijziging
in de publieke sector en in andere Europese regelgeving op basis waarvan persoonsgegevens
worden verwerkt.

Met het oog op de rechtszekerheid adviseert de tijdelijke commissie daarnaast om de
Europese Commissie te vragen om – in aanvulling op de jurisprudentie waarop de voorgestelde
definitiewijziging is gebaseerd – ook in te gaan op andere relevante Europese jurisprudentie
waarin uitleg wordt gegeven aan de definitie van persoonsgegevens.

C. Uitvoeringshandelingen van de Europese Commissie over pseudonieme gegevens (nieuw
artikel 41bis van de AVG)

De Digitale Omnibus bevat een nieuwe delegatiemogelijkheid voor de Commissie om uitvoeringshandelingen
vast te stellen. In deze uitvoeringshandelingen kunnen middelen en criteria worden
vastgesteld om te bepalen wanneer gegevens zodanig zijn gepseudonimiseerd dat zij
geen persoonsgegevens meer zijn. Het doel hiervan is het bieden van meer rechtszekerheid:
omdat er verschillende technieken bestaan om gegevens te pseudonimiseren, is het voor
bedrijven belangrijk om (meer) zekerheid te hebben over wanneer gegevens zodanig zijn
gepseudonimiseerd dat zij niet meer kwalificeren als persoonsgegeven.23 Met name innovatieve start-ups en het MKB zijn hierbij volgens de Commissie gebaat.

In dit verband wijst de tijdelijke commissie erop dat uit de voorgestelde wettekst
volgt dat de middelen en criteria die in de uitvoeringshandeling worden vastgesteld
een element zijn om aan te tonen dat gegevens niet kunnen leiden tot heridentificatie van personen.24 In de begeleidende stukken bij de Digitale Omnibus wordt echter niet toegelicht welke
andere elementen hierbij volgens de Commissie een rol spelen en hoe deze verschillende
elementen zich in de praktijk tot elkaar verhouden. Met het oog op het doel van het
voorstel – het bieden van meer rechtszekerheid aan met name start-ups en het MKB –
merkt de tijdelijke commissie op dat het van toegevoegde waarde zou zijn om meer inzicht
te krijgen in de beoogde praktische impact van de uitvoeringshandelingen.

Wat betreft de keuze voor uitvoeringshandelingen, merkt de tijdelijke commissie op
dat uit artikel 291 van het Verdrag betreffende de werking van de Europese Unie (VWEU)
volgt dat uitvoeringshandelingen bedoeld zijn om administratieve of technische maatregelen
te treffen die nodig zijn voor een uniforme uitvoering van Europese regelgeving. De
voorgestelde uitvoeringshandelingen over het pseudonimiseren van persoonsgegevens
lijken verder te gaan dan dit. Wanneer gegevens niet meer herleidbaar zijn, gelden
zij immers niet meer als persoonsgegeven. Dit betekent dat de nieuwe uitvoeringshandelingen
raken aan het toepassingsbereik van de AVG en – daarmee in samenhang – aan het recht
op bescherming van persoonsgegevens. De tijdelijke commissie wijst er in dit verband
op dat nationale parlementen bij de vaststelling van uitvoeringshandelingen door de
Commissie minder controlemogelijkheden hebben dan het geval zou zijn bij een gewone
Europese wetgevingsprocedure. Ook de EDPB en het kabinet stellen dat een uitvoeringshandeling
niet het juiste instrument lijkt te zijn om regels te stellen over pseudonimisering,
waarbij het kabinet bovendien wijst op het risico van politieke besluitvorming door
de Commissie op een terrein waar dit niet voor de hand ligt.

De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om het kabinet
te vragen om de Europese Commissie te verzoeken om een nadere motivering waarom een
uitvoeringshandeling over het pseudonimiseren van persoonsgegevens in dit geval het
passende instrument wordt geacht in het licht van artikel 291 van het Verdrag betreffende
de Werking van de EU, en om daarbij in te gaan op de mogelijke impact van deze uitvoeringshandeling
op het toepassingsbereik van de AVG.

Met het oog op de rechtszekerheid adviseert de tijdelijke commissie ook te verzoeken
om een verduidelijking van de beoogde praktische impact van de uitvoeringshandeling
over het pseudonimiseren van persoonsgegevens, nu ook andere elementen hierbij volgens
het voorstel een rol spelen.

D. Een «gerechtvaardigd belang» als grondslag voor de verwerking van persoonsgegevens
voor de ontwikkeling en exploitatie van AI (nieuw artikel 88 quater van de AVG)

De Digitale Omnibus bevat een voorstel om in de AVG te verduidelijken dat de verwerking
van persoonsgegevens voor de ontwikkeling en exploitatie van AI kan gelden als een
gerechtvaardigd belang voor bedrijven en organisaties. Een gerechtvaardigd belang is één van de bestaande
grondslagen in de AVG op basis waarvan persoonsgegevens kunnen worden verwerkt.25 Burgers krijgen op hun beurt een onvoorwaardelijk recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens op basis van dit gerechtvaardigde belang.
Met dit voorstel beoogt de Commissie meer duidelijkheid te bieden aan bedrijven en
de ontwikkeling en het gebruik van AI te stimuleren.26

De tijdelijke commissie merkt in algemene zin op dat de Commissie met dit voorstel
lijkt af te wijken van de techniekneutrale en risicogestuurde benadering waarop de
AVG is gebaseerd. Uit deze benadering volgt dat niet de gebruikte techniek bepalend
is voor de vraag aan welke wettelijke waarborgen een gegevensverwerking moet voldoen,
maar de vraag in hoeverre die verwerking een risico voor de rechten van burgers oplevert.
Naarmate die risico’s groter zijn, gelden strikere voorwaarden. Hoewel de Europese
wetgever ervoor kan kiezen om af te wijken van deze uitgangspunten, zou een dergelijke
keuze volgens de tijdelijke commissie zorgvuldig moeten worden onderbouwd. In dit
geval lijkt de Commissie meer ruimte te willen bieden aan het gebruik van persoonsgegevens
voor AI. Een onderbouwing van de noodzaak en proportionaliteit van dit voorstel –
waaronder de vraag of er minder ingrijpende alternatieve beleidsopties voorhanden
zijn zoals het vragen om toestemming – ontbreekt echter.27 Ook kan de vraag worden opgeworpen of de verwerking van persoonsgegevens voor de
ontwikkeling en exploitatie van AI in de praktijk wellicht niet meer risico’s voor
de rechten van burgers met zich brengt dan andere technologieën. In dit kader wijst
de tijdelijke commissie erop dat het in de praktijk kan gaan om de verwerking van
grote hoeveelheden persoonsgegevens – waaronder foto’s, social media posts en stemopnamen
van burgers28 – en dat het complex kan zijn om eenmaal verwerkte gegevens weer uit een AI-systeem
te verwijderen wanneer hiertegen bezwaar wordt gemaakt.29

Wat betreft de beoogde doelen – het bieden van meer duidelijkheid aan bedrijven en
het stimuleren van de ontwikkeling en het gebruik van AI – merkt de tijdelijke commissie
op dat het van toegevoegde waarde zou zijn om meer informatie te hebben over de concrete
manier waarop het voorstel in de praktijk aan deze doelen tegemoet komt.

In dit verband wijst de tijdelijke commissie er ten eerste op dat de AVG ook nu al
de mogelijkheid biedt om met een beroep op een gerechtvaardigd belang persoonsgegevens
te verwerken voor de ontwikkeling en exploitatie van AI.30 Hiervoor moet aan drie cumulatieve voorwaarden worden voldaan: ten eerste moet worden
aangetoond dat er sprake is van een gerechtvaardigd belang, ten tweede moet worden beargumenteerd dat de verwerking van persoonsgegevens noodzakelijk is voor de verwezenlijking van dat gerechtvaardigde belang en ten derde moet er een
belangenafweging worden uitgevoerd, om te kijken of de rechten van burgers niet zwaarder wegen dan
het ingeroepen gerechtvaardigde belang. Met het huidige voorstel lijkt de Commissie
wettelijk te willen vastleggen dat aan de eerste voorwaarde – het bestaan van een
gerechtvaardigd belang – wordt voldaan wanneer persoonsgegevens worden verwerkt om
een AI-systeem te ontwikkelen of exploiteren. Uit de voorgestelde wettekst blijkt
echter niet duidelijk wat dit betekent voor de andere twee voorwaarden31, of wat het concrete (beoogde) effect is van deze wijziging van de AVG. De EDPB stelt
in dit verband dat het voorstel in de praktijk een averechts effect kan hebben en
tot onduidelijkheid en een vermindering van de rechtszekerheid kan leiden.32 Ook het kabinet stelt dat dit voorstel verduidelijking behoeft.33 In dit licht wijst de tijdelijke commissie op het risico dat met deze wetswijziging
de suggestie wordt gewekt dat er meer ruimte bestaat voor de verwerking van persoonsgegevens
voor AI dan het wettelijk kader feitelijk toelaat.34

Ten tweede merkt de tijdelijke commissie op dat uit de toelichting bij de Digitale
Omnibus niet volgt hoe het onvoorwaardelijke recht op bezwaar in de praktijk moet
worden toegepast, of hoe dit zich verhoudt tot het recht op bezwaar dat de AVG al
kent.35 Vanuit het perspectief van burgers kan bijvoorbeeld de vraag worden gesteld of en
hoe zij op de hoogte worden gesteld van de verwerking van hun persoonsgegevens in
het kader van AI, zodat zij in de praktijk daadwerkelijk bezwaar kunnen maken. Ook
de EDPB wijst hierop en adviseert om in de wettekst op te nemen dat burgers tijdig
– voorafgaand aan de verwerking van hun gegevens – moeten worden geïnformeerd over hun recht om
hiertegen bezwaar te maken. Daarnaast kan de vraag worden gesteld in hoeverre er in
de praktijk daadwerkelijk uitvoering kan worden gegeven aan de onvoorwaardelijke aard van dit recht, omdat het technisch complex kan zijn om persoonsgegevens te verwijderen
wanneer zij eenmaal zijn opgenomen in een AI-systeem. Ook vanuit het bedrijfsleven
wordt dit opgemerkt en wordt gewezen op het risico dat AI-systemen noodgedwongen opnieuw
moeten worden getraind wanneer gegevens worden verwijderd.36

De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om het kabinet
te vragen de Europese Commissie te verzoeken om een nadere onderbouwing van de noodzaak
en proportionaliteit van het voorstel voor een aanvullende grondslag voor de verwerking
van persoonsgegevens voor AI op basis van een gerechtvaardigd belang. Naast het recht
op bescherming van persoonsgegevens van burgers, adviseert de tijdelijke commissie
om – met het oog op de rechtszekerheid voor ondernemers – daarbij ook in te gaan op
de verhouding van deze aanvullende grondslag tot de bestaande vereisten in de AVG
voor het verwerken van persoonsgegevens op basis van een gerechtvaardigd belang.

Ook adviseert de tijdelijke commissie om te vragen om een nadere uitleg van de beoogde
praktische toepassing van het voorgestelde onvoorwaardelijke recht op bezwaar voor
burgers, met inbegrip van de manier waarop burgers worden geïnformeerd over de verwerking
van hun persoonsgegevens zodat zij daadwerkelijk gebruik kunnen maken van dit recht.

E. Verwerking van bijzondere persoonsgegevens bij de ontwikkeling en exploitatie van
AI (nieuw artikel 9, tweede lid, onder k en vijfde lid van de AVG)

Naast een grondslag voor de verwerking van «reguliere» persoonsgegevens voor AI, bevat
de Digitale Omnibus ook een nieuwe grondslag voor het verwerken van bijzondere persoonsgegevens voor AI. Kort samengevat wordt voorgesteld om in de AVG op te nemen
dat voor de ontwikkeling en exploitatie van AI-systemen bijzondere persoonsgegevens
mogen worden verwerkt, wanneer het verwijderen van die gegevens onevenredig veel moeite
zou vergen. Om deze verwerking van bijzondere persoonsgegevens tot een minimum te
beperken, moeten er aan de voorkant passende technische en organisatorische maatregelen
worden getroffen om zoveel mogelijk te voorkomen dat er bijzondere persoonsgegevens
worden verzameld. Wanneer er toch bijzondere persoonsgegevens worden geïdentificeerd
en het verwijderen van deze gegevens onevenredig veel moeite vergt, moeten er bovendien
maatregelen worden getroffen. Bijvoorbeeld om te voorkomen dat de bijzondere persoonsgegevens
door het AI-systeem als resultaat worden getoond. Volgens de Commissie is deze nieuwe
grondslag in de AVG nodig om de ontwikkeling en werking van AI niet onevenredig te
belemmeren. In dit verband wijst de Commissie erop dat er bij de ontwikkeling van
AI grote hoeveelheden gegevens worden verwerkt, met inbegrip van bijzondere persoonsgegevens.

De tijdelijke commissie merkt op dat er vanwege de gevoelige aard strikte voorwaarden
gelden voor de verwerking van bijzondere persoonsgegevens.37 Bijzondere persoonsgegevens bevatten bijvoorbeeld informatie over iemands etnische
afkomst, gezondheid, geaardheid of politieke voorkeur. In het licht van het recht
op bescherming van persoonsgegevens op grond van artikel 8 van het Handvest moeten
de noodzaak en proportionaliteit van dit voorstel daarom zorgvuldig worden gemotiveerd,
waarbij aandacht moet worden besteed aan de verschillende aanwezige belangen. Uit
zowel de wettekst als de toelichting bij de Digitale Omnibus volgt dat de Commissie
economische belangen in het voorstel heeft meegewogen: zo beoogt het voorstel te voorkomen
dat de ontwikkeling van AI onevenredig wordt belemmerd en dat organisaties en ondernemingen
onevenredige inspanningen moeten verrichten om de verwerking van bijzondere persoonsgegevens
tegen te gaan. Uit de beschikbare stukken blijkt echter niet duidelijk hoe deze belangen
concreet zijn afgewogen tegen het belang dat burgers hebben bij de bescherming van
hun (bijzondere) persoonsgegevens. De tijdelijke commissie merkt op dat deze informatie
nodig is om de noodzaak en proportionaliteit van het voorstel van de Commissie zorgvuldig
te kunnen wegen in het licht van artikel 8 van het Handvest.

Een belangrijk element bij het beoordelen van de noodzaak en proportionaliteit, is
de vraag of er in de voorgestelde wettekst duidelijke randvoorwaarden worden gesteld.
Ook het kabinet stelt dat het bij de verwerking van bijzondere persoonsgegevens extra
belangrijk is dat er goede randvoorwaarden worden gesteld.38 In dit licht wijst de tijdelijke commissie op het advies van de EDPB, waarin concrete
suggesties worden gedaan om de voorwaarden waaronder bijzondere persoonsgegevens op
basis van het voorstel mogen worden verwerkt, verder te verduidelijken. Zo adviseert
de EDPB om te verduidelijken dat de verwerking van bijzondere persoonsgegevens echt
een uitzondering zou moeten zijn.39 Ook adviseert de EDPB om in de wettekst vast te leggen dat bijzondere persoonsgegevens
die worden verzameld via prompts – de opdracht die een gebruiker aan een AI-systeem
geeft – niet onder deze nieuwe grondslag vallen. Tot slot adviseert de EDPB om in
de wettekst te expliciteren dat de desbetreffende bijzondere persoonsgegevens door
bedrijven niet voor andere doeleinden mogen worden verwerkt, en dat bedrijven zorgvuldig
moeten vastleggen waarom het onevenredige moeite zou vergen om bijzondere persoonsgegevens
te verwijderen.

De tijdelijke commissie adviseert de commissie voor Digitale Zaken om het kabinet
te vragen de Europese Commissie te verzoeken om een nadere motivering van de noodzaak
en proportionaliteit van de voorgestelde nieuwe grondslag voor het verwerken van bijzondere
persoonsgegevens voor de ontwikkeling en exploitatie van AI-systemen, en daarbij in
het bijzonder in te gaan op de vraag hoe het recht op bescherming van persoonsgegevens
van burgers in het voorstel is meegewogen. Ook adviseert de tijdelijke commissie om
hierbij in te gaan op het advies van de European Data Protection Board om het voorstel
op een aantal punten te verduidelijken en aan te scherpen.

F. Wijziging van AVG-rechten burgers (artikel 12, vijfde lid en artikel 13, vierde
lid van de AVG)

De AVG kent verschillende rechten aan burgers toe, zoals het recht om persoonsgegevens
aan te (laten) passen of te verwijderen. In de Digitale Omnibus wordt voorgesteld
om twee van deze rechten aan te passen: het inzagerecht en het recht op informatie.

Het inzagerecht regelt dat burgers het recht hebben om uitsluitsel te krijgen over
de vraag of hun persoonsgegevens worden verwerkt en, wanneer dat het geval is, die
gegevens in te zien. De achterliggende gedachte hiervan is dat burgers op deze manier
kunnen controleren of de verwerking van hun persoonsgegevens juist en rechtmatig is.
Om misbruik te voorkomen, mogen organisaties inzageverzoeken weigeren wanneer deze
kennelijk ongegrond of buitensporig zijn. Ook mogen zij ervoor kiezen in dergelijke
gevallen een vergoeding te vragen. In de Digitale Omnibus wordt voorgesteld om de
bewijslast voor dergelijke situaties te verlagen, zodat het voor organisaties voortaan
voldoende is aan te tonen dat er redelijke gronden zijn om aan te nemen dat een verzoek ongegrond of buitensporig is. Ook wordt voorgesteld
dat het inzagerecht voortaan alleen kan worden gebruikt met het oog op de bescherming
van persoonsgegevens, en niet voor andere doeleinden. Met deze wijzigingen wil de
Commissie misbruik en te ruime of ongedifferentieerde inzageverzoeken tegengaan.40 Het achterliggende doel hiervan is het verminderen van uitvoeringslasten en het bieden
van meer duidelijkheid aan organisaties.41

Uit het recht op informatie volgt dat organisaties burgers bij aanvang van de verwerking
van persoonsgegevens informatie moeten verschaffen over bijvoorbeeld het doel waarvoor
die gegevensverwerking plaatsvindt.42 In de praktijk wordt deze informatie meestal verschaft via een algemene privacyverklaring.
De AVG regelt momenteel dat deze informatie niet hoeft te worden gegeven wanneer een
burger hier al over beschikt. In de Digitale Omnibus wordt voorgesteld om nader invulling
te geven aan deze uitzondering. Zo worden er twee situaties toegevoegd waarin de desbetreffende
informatie niet hoeft te worden verstrekt: wanneer er sprake is van een duidelijke en afgebakende relatie tussen de burger en de organisatie die de persoonsgegevens verwerkt en wanneer het
gaat om een niet-gegevensintensieve activiteit. Op deze situaties zijn vervolgens uitzonderingen mogelijk, waarin er wél informatie
moet worden verschaft. Het gaat dan bijvoorbeeld om de situatie waarin gegevens worden
gedeeld met een andere organisatie, of wanneer gegevens buiten de EU worden gedeeld
of opgeslagen. Het achterliggende doel van deze wijziging is verduidelijking en lastenverlichting,
in het bijzonder voor eenmanszaken en sportclubs.43

De tijdelijke commissie merkt op dat de AVG-rechten burgers helpen bij het houden
van de regie over de verwerking van hun persoonsgegevens. Hoewel aanpassing van deze
rechten een legitiem doel kan dienen – zoals het tegengaan van misbruik, het bieden
van verduidelijking en het verminderen van de regeldruk – moeten deze wijzigingen
zorgvuldig worden onderbouwd, in het bijzonder in het licht van het recht op bescherming
van persoonsgegevens in artikel 8 van het Handvest.

Wat betreft de aanpassing van het inzagerecht wijst de tijdelijke commissie erop dat
informatie ontbreekt over de vraag in hoeverre er in de praktijk misbruik wordt gemaakt
van dit recht, waardoor aanscherping van het wettelijk kader noodzakelijk is. Hierbij
kan worden opgemerkt dat het voor burgers in de praktijk complex kan zijn om een duidelijk
afgebakend inzageverzoek te doen, wanneer zij op voorhand niet weten of en welke persoonsgegevens
er precies worden verwerkt.44 Ook merkt de tijdelijke commissie op dat het inzagerecht momenteel ook voor andere
doeleinden kan worden gebruikt dan de bescherming van persoonsgegevens, zoals voor
journalistieke doeleinden. In dit kader wijst de tijdelijke commissie op het advies
van de EDPB, waarin uiteen wordt gezet dat de voorgestelde beperking van het inzagerecht
tot enkel het doeleinde van bescherming van persoonsgegevens op gespannen voet staat
met artikel 1 van de AVG en jurisprudentie van het HvJ-EU.45 Hieruit volgt dat inzageverzoeken ook mogen worden gedaan ter invulling van andere
(fundamentele) rechten en vrijheden.

Wat betreft het recht op informatie merkt de tijdelijke commissie op dat de voorgestelde
wettekst tot een vrij complexe regeling leidt, terwijl het doel ervan is om de regels
(juist) voor kleine ondernemingen en sportclubs te versimpelen. In dit licht wijst
de tijdelijke commissie op het advies van de EDPB, waarin wordt voorgesteld om het
voorstel op een aantal punten te verduidelijken, om zo te voorkomen dat er uiteenlopende
interpretaties ontstaan en ervoor te zorgen dat het voorstel daadwerkelijk tot lastenverlichting
leidt. Het gaat dan bijvoorbeeld om een uitleg van wat concreet moet worden verstaan
onder een duidelijke en afgebakende relatie of een niet-gegevensintensieve activiteit.

Tot slot merkt de tijdelijke commissie op dat het – vanuit het perspectief van het
recht op bescherming van persoonsgegevens van burgers – van toegevoegde waarde zou
zijn om meer inzicht te hebben in de verwachte cumulatieve impact van de voorgestelde aanpassing van het inzagerecht en het recht op informatie.
Op die manier kan beter worden ingeschat of de wijziging van de informatievoorziening
enerzijds en de wijziging van het inzagerecht anderzijds in de praktijk geen onvoorziene
of onevenredige gevolgen heeft voor burgers.

De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om het kabinet
te vragen de Europese Commissie te verzoeken inzicht te geven in hoeverre er in de
praktijk sprake is van misbruik van het inzagerecht waardoor wijziging noodzakelijk
is. Daarbij adviseert de tijdelijke commissie om te vragen om een reflectie op de
verwachte impact van de beperking van het inzagerecht op de uitoefening van andere
fundamentele rechten en vrijheden, zoals het gebruik van het inzagerecht voor journalistieke
doeleinden.

Met het oog op de rechtszekerheid – met name voor MKB’ers – adviseert de tijdelijke
commissie daarnaast te verzoeken of de voorgestelde wijziging van het recht op informatie
kan worden verduidelijkt.

Ook adviseert de tijdelijke commissie te verzoeken inzicht te geven in de verwachte
cumulatieve impact van de voorgestelde wijziging van het inzagerecht en het recht
op informatie op het recht op bescherming van persoonsgegevens van burgers.

De hiervoor genoemde punten kunnen betrokken worden bij de verdere behandeling van
het voorstel.

De voorzitter van de tijdelijke commissie Grondrechten en Constitutionele toetsing, Bushoff

De griffier van de tijdelijke commissie Grondrechten en Constitutionele toetsing, Kling