Voorstel Digital Omnibus

Status Digital Omnibus

Alvorens de inhoud van de Digital Omnibus te bespreken, verdient vermelding dat deze verordeningen nog in de kinderschoenen staat van de Europese wetgevingsprocedures. Het gepubliceerde document van 19 november 2025 betreft namelijk slechts een voorstel van de verordeningen die door de Europese Commissie is ingediend bij het Europese Parlement en de Raad. De laatstgenoemde partijen moeten het voorstel nog bespreken, eventueel aanpassen en goedkeuren. Bovendien dienen er adviezen te worden ingewonnen bij het Europees Economisch en Sociaal Comité en het Comité van de Regio’s. Pas nadat het gehele wetgevingsproces is afgerond, en goedkeuring is verkregen vanuit het Europees Parlement en de Raad, treedt de Omnibus-Verordening in werking.

Algemene verordening gegevensbescherming

Allereerst zijn er in de Digital Omnibus wijzigingen voorgesteld met betrekking tot de Algemene verordening gegevensbescherming (AVG). Hierna bespreken wij de belangrijkste daarvan.

Een eerste voorstel betreft de specificering dat de grondslag van het “gerechtvaardigd belang” in de zin artikel 6 lid 1 sub f AVG als basis kan gaan dienen voor het trainen en het testen van AI. Dat betekent dat niet (meer) in alle gevallen toestemming nodig is van de betrokkenen. Hierbij is van belang dat bedrijven de toets van gerechtvaardigd belang moeten blijven uitvoeren om persoonsgegevens te mogen verwerken en gebruiken voor AI-training.[4]

Om een beroep te kunnen doen op de grondslag gerechtvaardigd belang gelden drie cumulatieve voorwaarden: 1) Er moet sprake zijn van de behartiging van een gerechtvaardigd belang van de verwerkingsverantwoordelijke of van een derde, 2) er moet een noodzaak zijn tot de verwerking van persoonsgegevens voor de behartiging van dat gerechtvaardigde belang, en 3) de belangen of de grondrechten en de fundamentele vrijheden de betrokkene mogen niet zwaarder wegen dan het gerechtvaardigde belang van de verwerkingsverantwoordelijke of van een derde (onverminderd de overige verplichtingen uit de AVG).

De wijziging zoals beoogd in de Digital Omnibus is verstrekkend; het legitimeren van het gebruik van persoonsgegevens bij AI-training volgt niet uit vaste jurisprudentie en staat ook haaks op de bestaande richtsnoeren ten aanzien van de AVG-rechtsvaardigheidsgronden. Deze rechtvaardigingsgronden komen erop neer dat voor het trainen en uitvoeren van AI-algoritmes, meestal toestemming noodzakelijk is.

Aanpassing van de definitie van persoonsgegevens

Ook de definitie van persoonsgegevens is geactualiseerd in het voorstel. Er wordt toegevoegd dat er geen sprake is van persoonsgegevens als een verwerkende entiteit niet over de redelijke middelen beschikt om een (gepseudonimiseerd) gegeven te herleiden naar een natuurlijke persoon.[5] Deze wijziging is in lijn met recente uitspraken van het Hof van Justitie. [6]

Versoepeling informatieplicht

Verwerkingsverantwoordelijken hoeven in het voorstel ook niet langer betrokkenen te informeren door middel van een privacyverklaring wanneer er een laag risico is op het gebruik van persoonsgegevens en er gegronde redenen zijn om aan te nemen dat de betrokkene al weet wie de verwerkingsverantwoordelijke is en waarom hun persoonsgegevens worden verwerkt.

Verordening Kunstmatige Intelligentie (AI-Verordening)

Er zijn ook een aantal aanpassingen voorgesteld met betrekking tot de onlangs (deels) in werking getreden Verordening Kunstmatige Intelligentie (AI-Verordening).

Bijzondere persoonsgegevens AI

In de Digital Omnibus is een bepaling opgenomen met betrekking tot de AI-Verordening. Op basis van deze bepaling mogen aanbieders en gebruiksverantwoordelijken van AI-systemen bijzondere persoonsgegevens verwerken om vooringenomenheid (bias) in AI-systemen op te sporen en te corrigeren onder bepaalde voorwaarden.[7] Parallel hieraan, en zoals eerder benoemd, worden de regels ten aan zien van bijzondere persoonsgegevens onder de AVG versoepeld wanneer deze verwerkt worden voor AI-ontwikkeling. Er is een voorgesteld nieuw artikel opgenomen, op grond waarvan er een nieuwe grondslag komt voor het verwerken van bijzondere persoonsgegevens in relatie met ontwikkeling van AI-systemen en AI-modellen.

AI-geletterdheid

In de Digital Omnibus wordt voorgesteld om de ‘AI-geletterdheid’ verplichting te wijzigingen naar een verplichting voor de Europese Commissie en de lidstaten om bedrijven aan te moedigen om AI-geletterdheid te bevorderen, in plaats van dat deze verplichting tot invulling van AI-geletterdheid louter bij bedrijven ligt [8].

Op grond van de AI-Verordening hebben namelijk slechts bedrijven een AI-geletterdheid verplichting. Zowel aanbieders als gebruiksverantwoordelijken van AI-systemen zijn op grond hiervan verplicht om maatregelen te nemen om te zorgen voor een toereikend niveau van AI-geletterdheid onder hun personeel. De AI-verordening bevat geen opsomming van concrete maatregelen waaraan dient te worden voldaan ter nakoming van de verplichting tot AI-geletterdheid. Wel zijn er verschillende leidraden opgesteld over de AI-geletterdheid verplichting door de Autoriteit Persoonsgegevens (AP), en het Europees Bureau voor Artificiële Intelligentie (AI Office), en daarnaast heeft de Europese Commissie een lijst met FAQ’s gepubliceerd. Het is momenteel aan AI-gebruikende organisaties om een toereikende invulling te geven aan deze wettelijke verplichting op een wijze die past bij onder meer het risicoprofiel van het betreffende AI-gebruik en niet aan de lidstaten en de Europese Commissie.

Hoog risico AI-systemen

Er is een nieuwe, voorwaardelijke tijdlijn voorgesteld in de Digital Omnibus ten aanzien van de inwerkingtreding van de regels voor hoog risico AI-systemen onder de AI-Verordening. In het voorstel is het moment van inwerkingtreding afhankelijk geworden vanaf het moment waarop de Europese Commissie bevestigt dat er voldoende en adequate instrumenten zijn om de naleving van de regels te ondersteunen. Dit levert vertraging op, zeker nu de richtsnoeren nog niet zijn opgesteld inhoudende de verduidelijking van de kwalificatie en verplichtingen voor hoog risico AI-systemen. Oorspronkelijk zouden de regels voor hoog risico AI-systemen namelijk op 2 augustus 2026 ingaan. Het voorstel uit de Digital Omnibus zou er echter voor zorgen dat verschillende delen pas in werking zouden kunnen treden op 2 december 2027. Wel is er een uiterlijke deadline vastgesteld, namelijk 2 augustus 2028.[9]

Disclaimer

Let op dat dit slechts een algemene blog is over de Digital Omnibus. Voor verdere bestudering kunt u de andere informatiestukken over de AI-verordening van Kienhuis Legal raadplegen. 

Neem voor concrete vragen gerust contact op met: Roeland de Bruin.

[1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus).

[2] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus) p.5-6.

[3] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus) p.1.

[4] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus) p. 34.

[5] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus) p.19.

[6] Hof van Justitie van de Europese Unie 4 september 2025, C‑413/23 P, ECLI:EU:C:2025:645.

[7] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) p.7.

[8] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) p. 2 & p. 7.

[9] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) p. 18.