Preview document (🔗 origineel)

---

Fiche 2: Omnibus AI en Omnibus Digitaal

1. Algemene gegevens

1. Titel voorstel

Proposal for a regulation of the European Parliament and of the Council amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI)

Proposal for a regulation of the European Parliament and of the Council amending Regulations (EU) 2016/1679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus)

2. Datum ontvangst Commissiedocument

3. 19 november 2025

4. Nr. Commissiedocument

5. COM(2025) 836 en COM(2025) 837

6. EUR-Lex

EUR-Lex - 52025PC0836 - EN - EUR-Lex

EUR-Lex - 52025PC0837 - EN - EUR-Lex

7. Nr. impact assessment Commissie en Opinie Raad voor Regelgevingstoetsing

Niet opgesteld

8. Behandelingstraject Raad

Raad Algemene Zaken

9. Eerstverantwoordelijk ministerie

Ministerie van Economische Zaken in nauwe samenwerking met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en het Ministerie van Justitie en Veiligheid

10. Rechtsbasis

Omnibus AI: artikel 114 van het Verdrag betreffende de Werking van de Europese Unie (VWEU)

Omnibus Digitaal: artikel 114 en artikel 16 VWEU.

11. Besluitvormingsprocedure Raad

Voor beide voorstellen: Gekwalificeerde meerderheid

12. Rol Europees Parlement

Voor beide voorstellen: Medebeslissing

2. Essentie voorstel

1. Inhoud voorstel

Op 19 november 2025 heeft de Europese Commissie (hierna: de Commissie) een Omnibus Digitaal en een Omnibus AI gepresenteerd als onderdeel van een Digitaal Pakket. Met het pakket beoogt de Commissie de innovatiekracht en groeimogelijkheden van EU-bedrijven te versterken en hun administratieve lasten te verlagen. De omnibusvoorstellen bevatten gerichte wijzigingen van bestaande EU-wetgeving op het gebied van data, cybersecurity en AI met als doel vereenvoudiging en lastenverlichting. Dit BNC-fiche apprecieert de Omnibusvoorstellen in het Digitaal Pakket. De andere onderdelen van het Digitaal Pakket worden in aparte BNC-fiches geapprecieerd.

Omnibus AI

Het voorstel voor een Omnibus AI wijzigt de AI-verordening¹. Een belangrijke voorgestelde wijziging is dat de datum waarop de bepalingen van de AI-verordening met betrekking tot hoog-risico AI-systemen van toepassing worden wordt uitgesteld. Voor hoog-risico AI-systemen die zijn opgenomen in bijlage III van de AI-verordening, worden de regels van toepassing zes maanden nadat de Commissie een besluit neemt dat adequate steunmaatregelen beschikbaar zijn (voor bepaalde categorieën). Voor hoog-risico AI-systemen die onder één van de in bijlage I bij de verordening genoemde EU-regelgeving vallen, gelden de regels vanaf twaalf maanden na dat besluit van de Commissie. Wanneer de Commissie geen besluit neemt, treden de bepalingen uiterlijk in werking op 2 december 2027 voor bijlage III AI-systemen en op 2 augustus 2028 voor bijlage I AI-systemen. Dit zou neerkomen op een uitstel van 16 respectievelijk 12 maanden ten opzichte van de huidige deadlines.

Het voorstel schrapt voorts de registratieplicht voor hoog-risico AI-systemen die naar het oordeel van de aanbieder geen significant risico op schade voor de gezondheid, veiligheid of grondrechten van natuurlijke personen inhouden. Deze AI-systemen hoeven vervolgens niet aan de bepalingen inzake hoog-risico AI-systemen te voldoen, maar moeten volgens de huidige tekst van de AI-verordening wel geregistreerd worden in een publieke database. Ook wordt de inspanningsverplichting geschrapt voor aanbieders en gebruiksverantwoordelijken van AI-systemen om voor AI-geletterdheid te zorgen binnen hun organisatie. In plaats hiervan komt een verplichting voor lidstaten en de Commissie om AI-geletterdheid te bevorderen onder aanbieders en gebruiksverantwoordelijken.

Daarnaast breidt het voorstel de wettelijke basis voor aanbieders en gebruikers van AI-systemen en -modellen om onder bepaalde voorwaarden bijzondere categorieën van persoonsgegevens (zoals gegevens over ras, gezondheid, seksuele geaardheid) te verwerken voor het detecteren en corrigeren van bias uit naar alle AI-systemen en -modellen. In de huidige tekst van de AI-verordening is deze wettelijke basis alleen van toepassing op hoog-risico AI-systemen.

Het voorstel zorgt ook dat een aantal maatregelen om naleving van de AI-verordening makkelijker te maken voor micro-ondernemingen en midden- en kleinbedrijf op meer bedrijven van toepassing wordt. Dit gaat o.a. om een vereenvoudigd systeem voor kwaliteitsbeheer en het schrappen van verplichte sjablonen. Ook worden de bevoegdheden van het EU AI-bureau (AI Office) uitgebreid, o.a. door het AI-bureau exclusief bevoegd te maken voor AI-systemen die zijn geïntegreerd in zeer grote online platforms en zeer grote online zoekmachines² en de mogelijkheid te geven een regulatory sandbox op EU-niveau op te zetten voor AI-systemen voor algemene doeleinden.

Omnibus Digitaal

Het voorstel voor een Omnibus Digitaal wijzigt verschillende Europese verordeningen en richtlijnen, met name met betrekking tot data en cybersecurity. Ten eerste worden de Open Data Richtlijn (ODR)³, Datagovernanceverordening⁴ (DGA) en Free Flow of Non-Personal Dataverordening⁵ (FFoD) ingetrokken. De verplichtingen uit de DGA voor data-altruïstische organisaties⁶ en databemiddelingsdiensten worden opgenomen in de Dataverordening⁷. Daarbij worden de eisen versoepeld en wordt certificering ook voor databemiddelingsdiensten vrijwillig. Het verbod op datalokalisatie-eisen uit de FFoD wordt ook opgenomen in de Dataverordening. De regels over het hergebruik van beschermde categorieën data uit de DGA worden samengevoegd met de regels voor het hergebruik van open data in de ODR en opgenomen in de Dataverordening. Hierbij blijft flexibiliteit voor lidstaten voor nationale oplossingen voor openbaarmaking van data behouden. Het voorstel introduceert de mogelijkheid voor overheidsinstanties om andere voorwaarden en tarieven te stellen aan zeer grote bedrijven, waaronder de zogenaamde “poortwachters” uit de Digitalemarktenverordening⁸ (DMA), wanneer zij gegevens beschikbaar maken voor hergebruik aan deze bedrijven.

In de Dataverordening worden nieuwe waarborgen voor bescherming van bedrijfsgeheimen in data uit internet-of-things-producten geïntroduceerd. Daarnaast worden de bepalingen omtrent overstappen tussen clouddiensten niet van toepassing verklaard op diensten waarvoor de contracten voor 12 september 2025 zijn afgesloten en die op maat zijn gemaakt voor specifieke klanten of worden aangeboden door een mkb of small mid cap (SMC).⁹ Het voorstel beperkt de reikwijdte van de bevoegdheid voor overheidsinstanties om data op te vragen in situaties van ‘uitzonderlijke noodzaak’ tot alleen ‘algemene noodsituaties’. De regels over de samenstelling van het Europese Comité voor Gegevensinnovatie (EDIB) uit de DGA en Dataverordening worden samengevoegd en aangepast, o.a. zodat hier vertegenwoordigers van lidstaten aan deel kunnen nemen.

Daarnaast wijzigt de Omnibus Digitaal regelgeving omtrent privacy. Met betrekking tot de Algemene Verordening Gegevensbescherming (AVG) wijzigt het voorstel de definitie van persoonsgegevens met de intentie om deze meer in lijn te brengen met het Single Resolution Board-arrest.¹⁰ Ook staat het voorstel de verwerking van bijzondere persoonsgegevens toe voor verificatiedoeleinden en voor de ontwikkeling en exploitatie van AI-modellen. Aan de mogelijkheden tot het uitoefenen van rechten door betrokkenen worden nadere beperkingen gesteld om misbruik te voorkomen. Het voorstel stelt dat geautomatiseerde besluitvorming mag, mits er aan bepaalde voorwaarden wordt voldaan. Nu mag geautomatiseerde besluitvorming juist niet, tenzij er aan bepaalde voorwaarden wordt voldaan. De plicht tot het melden van datalekken wordt uitdrukkelijker beperkt tot gevallen waarin het lek daadwerkelijk nadelige gevolgen voor personen kan hebben, en de termijn waarbinnen het lek gemeld moet worden gaat van 72 naar 96 uur. Ook wordt het Europees Comité voor Gegevensbescherming (EDPB), waarin de Europese AVG-toezichthouders verenigd zijn, verplicht lijsten op te stellen waarvoor geen data protection impact assessment (DPIA) vereist is. Ten slotte wordt geregeld dat ‘gerechtvaardigd belang’ een grondslag is om AI-modellen te trainen. De regels over gegevensverwerking voor cookies uit artikel 5(3) van de ePrivacy-richtlijn worden voor zover het persoonsgegevens betreft in aangepaste vorm ondergebracht onder de AVG. De kern daarvan blijft dat toestemming nodig is voor cookies en soortgelijke tracking-technologieën. Hierop wordt een aantal uitzonderingen geïntroduceerd, bijvoorbeeld voor analytische of veiligheidsdoeleinden. Daarnaast moeten toestemmings- en weigeringshandelingen met dit voorstel in de toekomst geautomatiseerd of met een enkele klik uitgevoerd kunnen worden. Verder voorziet het voorstel in meerdere nieuwe mogelijkheden voor uitvoeringshandelingen van de Commissie in de AVG, zoals voor standaarden voor datalekmeldingen en omschrijving van hoog risico gevallen voor datalekken.

Het voorstel geeft het EU-agentschap voor cyberbeveiliging (ENISA) de opdracht een Europees meldpunt (single entry point) in te richten voor rapportageverplichtingen volgend uit verschillende soorten wetgeving, namelijk de Verordening cyberweerbaarheid (CRA), NIS2-richtlijn, CER,¹¹ DORA,¹² eIDAS¹³ en AVG. Hiervoor wordt deze Europese regelgeving geamendeerd zodat incidentmeldingen via dit (nog in te richten) Europese meldpunt gemeld worden aan nationale autoriteiten.

Tot slot wordt de Platform-to-Business(P2B)-verordening effectief geschrapt omdat de verplichtingen zouden overlappen met regels uit de Digitale dienstenverordening (DSA) en DMA.

2. Impact assessment Commissie

Niet opgesteld Het kabinet zal hier opheldering over vragen bij de Commissie en de gevolgen voor regeldruk, uitvoerbaarheid en bescherming van grondrechten verder in kaart te brengen.

3. Nederlandse positie ten aanzien van het voorstel

1. Essentie Nederlands beleid op dit terrein

Nederland zet zich in voor het verminderen van regeldruk en het bevorderen van betere regelgeving, zoals vastgelegd in het Actieprogramma Minder Druk Met Regels (MDMR). Het kabinet richt zich op het vereenvoudigen van wet- en regelgeving, met focus op het mkb, en streeft onder andere naar het schrappen van 500 regels.

Deze inzet sluit aan bij de Omnibus-aanpak van de Commissie, waar die gericht is op het vereenvoudigen van EU-wetgeving en het verminderen van administratieve lasten. Nederland ondersteunt in die gevallen deze aanpak, omdat het bijdraagt aan een coherente uitvoering van zowel nationale als Europese regelgeving, met als doel een verbetering van het ondernemingsklimaat.

In het non-paper over regeldruk en digitale wetgeving dat in november 2025 met uw Kamer is gedeeld heeft het kabinet aangegeven¹⁴ een initiatief om de regeldruk van digitale wetgeving te verlagen te verwelkomen. Het non-paper stelt dat hierbij drie uitgangspunten centraal moeten staan. Ten eerste moeten de doelen van de wetgeving niet worden afgezwakt. De omnibus moet zich richten op het stroomlijnen van rapportageverplichtingen en definities, het vergroten van duidelijkheid en consistentie en het makkelijker maken van naleving. Daarnaast kunnen de nalevingskosten van digitale wetgeving sterk worden gereduceerd door de ontwikkeling van praktische tools en ondersteuning. Tot slot moet de Europese governance van de wetgeving worden versterkt. Dit is nodig zodat de wetgeving duidelijk en consistent wordt uitgelegd en geïnterpreteerd, ook over landsgrenzen heen en waar wetgeving overlapt.

Zoals aangegeven in de Strategie Digitale Economie (SDE) en de voortgangsrapportages daarvan¹⁵ heeft het kabinet er de afgelopen jaren op in gezet om belangrijke randvoorwaarden en grondrechten in de digitale economie binnen de Europese Unie beter te borgen. Dit gebeurt via Europese regelgeving die tot doel heeft de Europese digitale interne markt te versterken en te verdiepen. Nederland heeft de afgelopen jaren actief bijgedragen aan de totstandkoming van nieuwe Europese regelgeving op het gebied van digitalisering, waaronder de AI-verordening, Verordening digitale markten (DMA) en Dataverordening (DA). Deze Europese regelgeving draagt bij aan het creëren en verdiepen van een innovatieve digitale interne markt met eenduidige uniforme regels voor bedrijven en overheden. Het kabinet zet daarbij erop in dat de bescherming van grondrechten gewaarborgd is, consumenten keuzevrijheid en vertrouwen hebben, waar bedrijven op een gelijk speelveld concurreren, ondernemen in Nederland aantrekkelijk is en overheden hun wettelijke taak effectief kunnen uitvoeren.

Bij de uitvoering van deze Europese regelgeving zet het kabinet erop in dat deze doelgericht en uniform worden geïmplementeerd, toegepast en gehandhaafd binnen Nederland en de EU.

Hiervoor is het belangrijk dat er voldoende capaciteit is bij toezichthouders. Daarnaast is een duidelijke rolverdeling en een coherente en gecoördineerde aanpak binnen Nederland en de EU nodig om fragmentatie en ogenschijnlijke willekeur te voorkomen. Zo moeten bedrijven en consumenten meer duidelijkheid krijgen over waar zij aan toe zijn.¹⁶

2. Beoordeling + inzet ten aanzien van dit voorstel

Het kabinet verwelkomt dat de Commissie met de omnibussen erop inzet om digitale wetgeving te vereenvoudigen en stroomlijnen. Dit past binnen de bredere doelstelling van het kabinet om de regeldruk terug te dringen. Het kabinet zet erop in dat deze omnibussen zich focussen op versimpeling, verduidelijking en stroomlijning van wetgeving en dat de doelen van de wetgeving daarbij overeind blijven. Het kabinet ziet dat het pakket mogelijk ook kansen biedt voor de ontlasting van de uitvoeringsorganisaties en de vereenvoudiging van de uitvoering van beleid. Alhoewel het kabinet veel aanpassingen binnen de omnibussen kan steunen, omdat deze in lijn zijn met de Nederlandse inzet, gaat een deel van de voorstellen in de Omnibus Digitaal en Omnibus AI verder dan het versimpelen, verduidelijken en stroomlijnen van wetgeving. In het bijzonder bij een aantal fundamentele wijzigingen aan de AVG heeft het kabinet serieuze zorgen, omdat deze wijzigingen het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk. Afhankelijk van hoe het Europees meldpunt zal worden ingericht, zal blijken of dit voorstel effectief zal bijdragen aan het verlagen van regeldruk en of nationale competenties rondom nationale veiligheid mogelijk worden aangetast.

Het ontbreken van een impact assessment maakt het voor het kabinet moeilijk om de effecten van de bovengenoemde voorstellen te beoordelen, vooral met betrekking tot de verwachte regeldrukverlagende effecten en de impact op fundamentele rechten en nationale bevoegdheden. Het kabinet zal opheldering vragen bij de Commissie en de gevolgen voor regeldruk, uitvoerbaarheid en bescherming van grondrechten verder in kaart te brengen voordat het tot een definitief oordeel komt op deze onderdelen. Het kabinet hecht er dan ook aan dat er in het bijzonder voor wijzigingen met impact op gegevensbescherming en grondrechten gelegenheid is om de voorstellen en de gevolgen daarvan gedegen te analyseren en deze inhoudelijk te bespreken. Het kabinet vindt daarnaast dat het nog te verschijnen advies van de Europees Toezichthouder voor gegevensbescherming (EDPS) al dan niet in samenspraak met Europees Comité voor gegevensbescherming (EDPB) moet worden betrokken bij de bespreking van dit voorstel. Het kabinet zal in de besprekingen ervoor pleiten daar waar het voorstellen betreft die verdergaan dan vereenvoudiging deze op een reguliere wijze te bespreken. Ook zal het kabinet de Commissie verzoeken een uitgebreidere analyse van de impact van deze voorstellen te presenteren en de voorstellen te behandelen op een wijze die recht doet aan de zorgpunten. De impact op grondrechten moet niet worden onderschat en weegt voor het kabinet zwaar in haar oordeel over dit voorstel.

Één van de voorgestelde wijzigingen aan de AVG die de meeste impact lijkt te hebben op het niveau van gegevensbescherming is de wijziging van de definitie van het begrip persoonsgegevens.

Deze wijziging zou volgens de Commissie een codificatie van het SRB-arrest¹⁷ betreffen, maar op basis van de eerste analyse van het kabinet gaat het voorstel verder dan een codificatie. Daarnaast wordt het voorstel gedaan voor het creëren van grondslagen voor het verwerken van (met name bijzondere) persoonsgegevens voor het trainen en exploiteren van AI-systemen. Dit voorstel lijkt nu vast te leggen dat bij de training en exploitatie van een AI-model de grondslag ‘gerechtvaardigd belang’ per definitie is gegeven zonder dat een noodzakelijkheidstoets en de bijbehorende belangenafweging moet plaatsvinden. Het voorstel voorziet ook in de verwerking van bijzondere persoonsgegevens voor dit doel. Juist vanwege de gevolgen die de verwerking van deze bijzondere categorieën van persoonsgegevens voor de betrokkenen kunnen hebben, genieten deze extra bescherming. Wanneer deze ook mogen worden verwerkt voor genoemd doel, is het extra belangrijk dat er goede randvoorwaarden zijn. Het kabinet heeft serieuze zorgen over een aantal voorgestelde wijzigingen aan de AVG.

Een hiermee samenhangend aandachtspunt is de uitbreiding van de in de AI-verordening gecreëerde wettelijke basis voor aanbieders en gebruiksverantwoordelijken van hoog-risico AI-systemen om onder bepaalde voorwaarden bijzondere categorieën van persoonsgegevens te verwerken voor het detecteren en corrigeren van bias naar alle AI-systemen en modellen. In de huidige tekst van de AI-verordening is deze wettelijke basis alleen van toepassing op hoog-risico AI-systemen. De verwerking van bijzondere categorieën van persoonsgegevens, ook als die is bedoeld om bias te voorkomen, brengt in zijn algemeenheid risico’s met zich mee, zoals datalekken en misbruik van deze gegevens. Deze grondslag gaat gepaard met een aantal waarborgen die al golden voor deze verwerking voor hoog-risico AI-systemen. Het kabinet bestudeert verder of deze risico’s proportioneel zijn tot het doel van detecteren en corrigeren van bias en of deze risico’s voldoende kunnen worden beperkt met het huidige voorstel.

Met de nieuwe mogelijkheden voor uitvoeringshandelingen van de Commissie verschuiven bevoegdheden van de onafhankelijke toezichthouders en de EDPB naar de Commissie. De Commissie kan hierdoor regels stellen over de gevallen waarin een datalek moet worden gemeld omdat er een hoog risico is, over de gevallen waarin DPIA’s verplicht zijn, en over de criteria die bepalen of er sprake is van persoonsgegevens bij pseudonimisering. Het kabinet ziet hier een risico van meer politieke besluitvorming, wat niet vanzelfsprekend past bij een verordening die mede strekt tot grondrechtenbescherming. De AVG is immers een uitwerking van het recht op gegevensbescherming. Weliswaar kunnen grondrechten worden ingeperkt, maar dit moet zorgvuldig worden gewogen.

Het kabinet ziet dat er omtrent cookies oplossingen mogelijk zijn die geen afbreuk doen aan het niveau van gegevensbescherming dat de AVG biedt. Ten opzichte van artikel 5(3) van de ePrivacy-richtlijn worden nieuwe uitzonderingen toegestaan op de hoofdregel dat toestemming nodig is voor het verwerken van persoonsgegevens op apparatuur van burgers. Het kabinet hecht er belang aan dat er een andere rechtmatige grondslag voor verwerking vereist blijft en zal de EC om opheldering vragen. Het kabinet staat ook positief tegenover voorstellen om geautomatiseerde toestemming te kunnen geven of weigeren voor cookies, zolang dit in lijn is met de eisen voor toestemming uit de AVG. Dit kan zowel regeldruk als privacy ten goede komen. Ook steunt het kabinet dat de EDPB wordt verplicht met lijsten te komen die verduidelijken wat wel en niet als ‘high-risk’ gegevensverwerking wordt gezien.

Het kabinet steunt het voorstel om cybersecuritywetgeving te simplificeren en harmoniseren, en daarmee ook het doel om de regeldruk te verlagen voor bedrijven. Ook kijkt het kabinet positief naar bestaande initiatieven om begrippen en definities bijvoorbeeld te verduidelijken in EU-verband of drempelwaarden te harmoniseren op sectoraal niveau binnen de EU.

Het kabinet heeft echter grote zorgen over de oprichting van een Europees meldpunt om onder andere de CRA-, NIS2-, AVG- en CER- meldplichten zodoende samen te brengen. Lidstaten, waaronder Nederland, hebben al nationale meldplatformen ingericht voor het ontvangen van incidentmeldingen. Daarnaast werkt het kabinet al op nationaal niveau aan de harmonisatie van meldplichten door de NIS2 en CER-meldingen samen te brengen binnen het nationale platform. Het kabinet verwacht dat het verlagen van regeldruk meer efficiënt en tijdig kan worden bereikt door voort te bouwen op bestaande nationale oplossingen in plaats van het organiseren van een Europees meldpunt. Nationale meldstructuren en meldpunten sluiten aan bij de manier van samenwerken en communiceren die entiteiten hebben met de Nederlandse overheid.

Door de inrichting van een Europees meldpunt lijkt een deel van de nationale dienstverlening rondom incidentenafhandeling daarnaast te verschuiven naar Europees niveau. Dit geldt in het bijzonder voor meldingen onder de NIS2 en CER, daar waar incidenten bij de Rijksoverheid en vitale infrastructuur gevoelige informatie omtrent nationale veiligheid kunnen bevatten. Het kabinet benadrukt dat nationale meldstructuren, waarbij lidstaten de directe en primaire ontvanger van incidentinformatie blijven, behouden moeten blijven. Ook moet volgens het kabinet worden bezien of het oprichten, beheren en beveiligen van een meldpunt voor verschillende soorten wetgeving past binnen het mandaat, de capaciteit en de verantwoordelijkheden van ENISA.

Het kabinet heeft daarnaast zorgen omtrent beveiligingsrisico’s als het gaat om het centraliseren van dergelijke meldplichten binnen één meldpunt. Het verwerken van zeer gevoelige meldingen, en in het bijzonder incidentinformatie van 27 lidstaten is namelijk erg kwetsbaar en een zaak van nationale veiligheid. Daarbij ziet het kabinet ook risico’s ten aanzien van de afhankelijkheid van de continuïteit van een platform dat op EU-niveau wordt beheerd. Het kabinet kijkt naar alternatieve oplossingen voor het simplificeren en harmoniseren van cybersecuritywetgeving en het verlagen van regeldruk voor bedrijven.

Het voorstel voor de Omnibus AI bevat verschillende wijzigingen die het kabinet kan steunen omdat deze het voor organisaties eenvoudiger maken om aan de AI-verordening te voldoen, zonder afbreuk te doen aan de doelen van de verordening. Dit gaat onder andere om het schrappen van een template voor post-market monitoring en dat het mkb op vereenvoudigde wijze kan voldoen aan de vereisten voor kwaliteitsbeheer. Ten aanzien van uitstel om aan de bepalingen over hoog-risico AI-systemen te voldoen ziet het kabinet liever dat wordt vastgehouden aan vaste data zodat aanbieders en gebruiksverantwoordelijken van AI zeker weten wanneer zij moeten voldoen aan de vereisten. De koppeling van inwerkingtreding aan een Commissiebesluit brengt onzekerheid met zich mee. Als er uitstel komt ziet het kabinet liever korter uitstel voor AI-systemen in bijlage III (bijvoorbeeld negen maanden in plaats van meer dan twaalf) en concrete data zonder koppeling aan een Commissiebesluit.

Het kabinet heeft bezwaren tegen het schrappen van de registratieplicht voor hoog-risico AI die alleen voor beperkte of procedurele taken worden gebruikt. Dit verlaagt de transparantie over het gebruik van AI-systemen in hoog risico context en bemoeilijkt het toezicht op deze systemen. Bovendien levert deze maatregel slechts een beperkte verlichting van regeldruk op.

Het kabinet steunt de doelstelling om AI-geletterdheid te bevorderen bij personeel dat met AI werkt. Kennis over de werking van AI op de werkvloer versterkt de capaciteiten van werkgevers en werknemers om toe te zien op de goede inzet en risico’s van AI. Tegelijkertijd erkent het kabinet dat de huidige verplichting in de AI-verordening, waarbij organisaties maatregelen dienen te nemen om te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel, onvoldoende duidelijk is en onzekerheid kan creëren bij deze organisaties. Het kabinet steunt daarom ook inspanningen om deze verplichting te verduidelijken of organisaties bij het voldoen aan deze verplichting te ondersteunen. Het voorstel van de Commissie is wat betreft het kabinet nog te onduidelijk om hier een positie op in te nemen. Het kabinet zal daarom vragen om verduidelijking, waarbij de hiervoor genoemde doelstellingen over de ontwikkeling van AI-geletterdheid op de werkvloer worden meegenomen in de uiteindelijke afweging.

De gevolgen van het de facto schrappen van de P2B-verordening zijn niet direct te overzien en het kabinet betwijfelt of het leidt tot een significante vermindering van regeldruk. Het kabinet is daarom kritisch op het schrappen van de P2B-verordening. De P2B bevat duidelijke en werkbare transparantieregels, die in beginsel slechts eenvoudige implementatie door platforms vergen. Er zijn bij het kabinet geen signalen bekend vanuit het bedrijfsleven dat de P2B tot (onnodige) regeldruk leidt. Weliswaar zijn er raakvlakken met de inhoud van de DMA en DSA, maar de bepalingen in de P2B verschillen qua doelstelling, inhoud, reikwijdte en niveau. De P2B-regels zijn daarmee complementair aan de DMA en DSA en het bredere bereik biedt extra bescherming, met name ook voor het MKB. Het specifieke en gedetailleerde karakter van de regels in de P2B draagt bovendien bij aan de voorspelbaarheid en handhaving van andere regelgeving. De ACM is sinds kort bevoegd om de P2B te handhaven en ontvangt inmiddels regelmatig meldingen over niet-naleving van de P2B door platforms. Zonder de P2B kan de ACM geen toezicht meer houden op problemen die ondernemers ondervinden op platforms die buiten Nederland gevestigd zijn. Schrappen zal dus naar verwachting leiden tot minder rechtszekerheid en minder bescherming voor met name kleinere ondernemers die handelen op platforms. De Commissie zou volgens het kabinet eerst de gevolgen van het schrappen van de P2B-verordening gedegen in kaart moeten brengen, zowel op Europees als nationaal niveau.

Het kabinet kan het samenbrengen van de verschillende Europese regelgeving met betrekking tot data in de Dataverordening en de wijzigingen die daarmee gepaard gaan in grote mate steunen. Het kabinet is positief over de aanpassingen van bepalingen in de Dataverordening ten aanzien van het versterken van de waarborgen ter de bescherming van bedrijfsgeheimen waar er risico is op lekken naar entiteiten uit derde landen, het opvragen van data in publieke noodsituaties, de versoepelingen van de eisen voor databemiddelingsdiensten en data-altruïstische organisaties en het schrappen van regels over slimme contracten. Het kabinet zou verdere versimpeling, door het schrappen van de regels over het opvragen van gegevens in publieke noodsituaties, steunen gezien de blijvende onduidelijkheid over de toepassing van deze regels en de risico’s dat de gecreëerde bevoegdheid te breed wordt ingezet. Het kabinet kan eveneens steunen dat de bepalingen over data-altruïstische organisaties worden verwijderd.

Ook het opnemen van de Open Data Richtlijn in de Dataverordening kan het kabinet steunen. Hierbij is wel belangrijk dat, zoals het voorstel stelt, er ruimte blijft voor nationale flexibiliteit met betrekking tot het hergebruiken van persoonlijke data in publieke registers. Ook is het kabinet kritisch over de gecreëerde mogelijkheid voor overheidsinstanties om andere voorwaarden en hogere tarieven te stellen aan zeer grote bedrijven. Het kabinet steunt de versoepeling van de regels voor databemiddelingsdiensten, maar ziet liever dat de certificering van databemiddelingsdiensten dan wel verplicht blijft.

Het kabinet heeft zorgen over de uitzonderingen op de bepalingen over overstappen tussen clouddiensten. Deze creëren juist onduidelijkheid voor gebruikers van clouddiensten en belemmeren hun keuzevrijheid. Met name de uitzondering voor maatwerk-diensten kan ertoe leiden dat de huidige situatie met vendor lock-in gehandhaafd blijft. Het kabinet ziet liever geen aanpassingen die de werking van dit onderdeel van de Dataverordening beperken of vertragen gezien de Dataverordening een belangrijk onderdeel is in het beter laten functioneren van de Europese cloudmarkt. Het kabinet verwelkomt de gewijzigde invulling van de EDIB en zal zich tijdens de onderhandelingen inzetten voor een duidelijk coördinatiemechanisme om te borgen dat het toezicht bijdraagt aan de versterking van de interne markt.

3. Eerste inschatting van krachtenveld

De meerderheid van lidstaten verwelkomt naar verwachting dat de Commissie met dit voorstel wetgeving wil versimpelen en regeldruk wil verlagen. Een deel van de lidstaten zal daarbij naar verwachting ook de kanttekening maken dat de doelen van de wetgeving en bescherming van fundamentele rechten overeind blijven. Ook zal een meerderheid van de lidstaten naar verwachting zorgen hebben over de oprichting van een Europees meldpunt.

De positie van het Europees Parlement is nog niet bekend. Het is nog niet bekend in welk comité het voorstel wordt behandeld en wie de rapporteur voor het voorstel is.

4. Beoordeling bevoegdheid, subsidiariteit en proportionaliteit

1. Bevoegdheid

Als onderdeel van de toets of de EU mag optreden conform de EU-verdragen toetst het kabinet of de EU handelt binnen de grenzen van de bevoegdheden die haar door de lidstaten in de EU-verdragen zijn toegedeeld om de daarin bepaalde doelstellingen te verwezenlijken. Het oordeel van het kabinet inzake de bevoegdheidsgrondslag is positief. Het voorstel voor een Omnibus Digitaal is gebaseerd op de artikelen 16 en 114 VWEU en het voorstel voor een Omnibus AI is gebaseerd op artikel 114 VWEU. Artikel 16 VWEU geeft de EU de bevoegdheid voorschriften vast te stellen inzake de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens. Artikel 114 VWEU geeft de EU de bevoegdheid maatregelen vast te stellen inzake de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die de instelling en de werking van de interne markt betreffen. Het kabinet kan zich vinden in deze rechtsgrondslagen. Voor zover het gaat om de verwerking van persoonsgegevens geldt dat er sprake is van een gedeelde bevoegdheid tussen de EU en de lidstaten op grond van artikel 4, eerste lid, VWEU. Op grond van artikel 4, tweede lid, onder a, VWEU hebben de EU en de lidstaten een gedeelde bevoegdheid op het gebied van de interne markt.

2. Subsidiariteit

   Als onderdeel van de toets of de EU mag optreden conform de EU-verdragen toetst het kabinet de subsidiariteit van het optreden van de Commissie. Dit houdt in dat het kabinet op de gebieden die niet onder de exclusieve bevoegdheid van de Unie vallen of wanneer sprake is van een voorstel dat gezien zijn aard enkel door de EU kan worden uitgeoefend, toetst of het overwegen optreden niet voldoende door de lidstaten op centraal, regionaal of lokaal niveau kan worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het overwogen optreden beter door de Unie kan worden bereikt (het subsidiariteitsbeginsel).

   Het oordeel van het kabinet is positief, met een kanttekening. Het doel van de voorstellen is het verlagen van regeldruk. Gezien de onderwerpen data, AI en digitale diensten grensoverschrijdend van aard zijn, kan dit onvoldoende door de lidstaten op centraal, regionaal of lokaal niveau worden verwezenlijkt, daarom is een EU-aanpak nodig. Door duidelijkere en simpelere regels wordt het gelijk speelveld op het terrein van data, AI en digitale diensten bovendien verbeterd. Daarnaast kan aanpassing van EU-wetgeving alleen op EU-niveau plaatsvinden. Om die redenen is optreden op het niveau van de EU gerechtvaardigd.

   Alhoewel het optreden op EU-niveau voor het verlagen van regeldruk in het algemeen gerechtvaardigd is, heeft het kabinet specifiek over het voorstel in de Omnibus Digitaal om een Europees meldpunt in te richten wel zorgen over de subsidiariteit. Het specifieke doel van versimpelen en stroomlijnen van de verschillende meldplichten uit (cyber)wetgeving kan voor een groot deel ook zonder dit vergaande middel bereikt worden en ook op nationaal niveau door lidstaten worden opgelost. Zo zal de grootste groep entiteiten onder de CER- en de NIS2-richtlijn niet grensoverschrijdend opereren. Deze partijen hebben voldoende aan het simplificeren van rapportageverplichtingen en een meldpunt op nationaal niveau. Bovendien wordt er door lidstaten in diverse Europese expertgroepen, waaronder de NIS Cooperation Group, reeds samengewerkt om dit doel te bereiken.

3. Proportionaliteit

   Als onderdeel van de toets of de EU mag optreden conform de EU-verdragen toetst het kabinet of de inhoud en vorm van het optreden van de Unie niet verder gaan dan wat nodig is om de doelstellingen van de EU-verdragen te verwezenlijken (het proportionaliteitsbeginsel). Het oordeel van het kabinet over de proportionaliteit is positief, met twee kanttekeningen. Het doel van de voorstellen is het verlagen van regeldruk. Veel van de voorgestelde wetswijzigingen betreffen verduidelijkingen en versimpelingen van bestaande EU-wetgeving. In die gevallen lijkt het voorgestelde optreden geschikt om deze doelstelling te bereiken, omdat deze aanpassingen zorgen dat Europese regelgeving duidelijker wordt of tot minder verplichtingen leiden. Bovendien lijkt het voorgestelde optreden niet verder te gaan dan noodzakelijk, omdat de aanpassingen geen afbreuk doen aan de beoogde doelen en werking van de wetgeving. Zo worden de eisen waar databemiddelingsdiensten aan moeten voldoen om te worden gecertificeerd versimpeld, zonder dat daarmee afbreuk wordt gedaan aan de betrouwbaarheid van gecertificeerde databemiddelingsdiensten.

   De eerste kanttekening is dat er ook voorgestelde wijzigingen zijn die volgens het kabinet niet proportioneel lijken. Sommige wijzigingen aan de AVG lijken verder te gaan dan noodzakelijk omdat de wijzigingen afbreuk doen aan respectievelijk gegevensbescherming en onvoldoende duidelijk is in hoeverre deze voorstellen effectief regeldruk verlagen. Het kabinet zal opheldering vragen bij de Commissie en de gevolgen voor regeldruk, uitvoerbaarheid en bescherming van grondrechten verder in kaart te brengen voordat het tot een definitief oordeel komt op deze onderdelen. Het kabinet hecht eraan dat er in het bijzonder voor wijzigingen met impact op gegevensbescherming en fundamentele rechten gelegenheid is om de voorstellen en de gevolgen daarvan gedegen te analyseren en deze inhoudelijk te bespreken.

   De tweede kanttekening is dat het kabinet zorgen heeft ten aanzien van de inrichting van een Europees meldpunt. Volgens het kabinet is door de Commissie onvoldoende inzichtelijk gemaakt of een Europees meldpunt daadwerkelijk zal zorgen voor lastenverlichting en simplificatie, in het bijzonder waar het gaat om niet-grensoverschrijdende entiteiten. Ook is onvoldoende duidelijk wat de omvang is van de groep entiteiten die wel voordeel zouden kunnen hebben bij een Europees meldpunt, namelijk de grensoverschrijdende entiteiten en/of (grensoverschrijdende) entiteiten die rapportageverplichtingen hebben die onder meerdere wetgevingskaders vallen, bijvoorbeeld AVG én NIS2-richtlijn. Om die reden heeft het kabinet twijfels over de geschiktheid van deze maatregel in het licht van het doel om regeldruk te verlagen.

5. Financiële consequenties, gevolgen voor regeldruk, concurrentiekracht en geopolitieke aspecten

1. Consequenties EU-begroting

Voor het uitvoeren van de nieuwe taken op basis van de Omnibus AI heeft de AI Office 53 FTEs nodig. 15 FTE kan worden geheralloceerd binnen het AI Office. Het AI Office zal dus 38 extra FTE nodig hebben. Het kabinet is van mening dat eventuele benodigde middelen gevonden dienen te worden binnen de in de Raad afgesproken financiële kaders van de EU-begroting 2021–2027 en dat deze moeten passen bij een prudente ontwikkeling van de jaarbegroting. Het kabinet wil bovendien niet vooruit lopen op de integrale afweging van middelen na 2027. Daarnaast moet de ontwikkeling van de administratieve uitgaven in lijn zijn met de ER-conclusies van juli 2020 over het MFK-akkoord.

2. Financiële consequenties (incl. personele) voor rijksoverheid en/ of medeoverheden

Het voorstel zal implicaties hebben voor het toezicht op verschillende Europese regelgeving, dat nationaal is ingericht. Naar verwachting kunnen die taken worden ondergebracht bij de toezichthouders die nu al op deze Europese regelgeving toezien. Daarbij wordt gezocht naar de meest doeltreffende en doelmatige oplossing. Of de aanpassingen de kosten voor het toezicht en de handhaving zullen verhogen of verlagen is nog niet duidelijk. Het voorstel bevat ook enkele bepalingen die de AVG wijzigen en er mogelijk voor zullen zorgen dat er meer meldingen ontstaan bij de toezichthoudende autoriteit en de rechtspraak. Het kabinet verwacht niet dat er een omvangrijke verhoging in kosten van toezicht en handhaving zal zijn. Het versimpelen van de regels kan ook handhaving en toezicht vergemakkelijken. Het kabinet zal dit verder onderzoeken en opheldering vragen bij de Commissie. De budgettaire gevolgen voor de Rijksbegroting worden ingepast op de begroting van de beleidsverantwoordelijke departementen, conform de regels van de budgetdiscipline. Daarbij dient ook rekening gehouden te worden met medeoverheden.

3. Financiële consequenties en gevolgen voor regeldruk voor bedrijfsleven en burger

Alhoewel er geen impact assessment is verricht geeft de Commissie in de voorstellen wel inschattingen van de verwachte lastenverlichting. Voor de Omnibus AI schat de Commissie dat het voorstel van €297 tot €433 miljoen aan lastenverlichting voor bedrijven in de EU zal opleveren. De Commissie verwacht dat het mkb en SMCs verhoudingsgewijs meer zullen profiteren van de lastenverlichting.

Voor de Omnibus Digitaal schat de Commissie dat het voorstel jaarlijks €1 miljard aan lastenverlichting zal opleveren in de EU. Daarnaast verwacht de Commissie dat het voorstel eenmalig €1 miljard aan lastenverlichting zal opleveren. Hoe deze inschattingen zich precies vertalen naar de Nederlandse situatie is niet bekend.

4. Gevolgen voor concurrentiekracht en geopolitieke aspecten

De voorstellen komen voort uit het bredere plan om het concurrentievermogen van de EU te versterken, zoals uiteengezet door Commissievoorzitter Von der Leyen in haar politieke richtsnoeren voor de zittingsperiode 2024-2029 en het rapport ‘The Future of European Competitiveness’ van Mario Draghi. De Commissie geeft aan, dat zoals benadrukt in het Draghi-rapport, de opeenstapeling van regels soms een negatief effect heeft gehad op het concurrentievermogen. Door de regeldruk van digitale regelgeving te verlagen zouden de voorstellen de concurrentiekracht moeten versterken. In het kader van toenemende internationale spanningen en geopolitieke onzekerheid, draagt het versterken van de concurrentiepositie bij aan de strategische positie van de EU. Ook derde landen kunnen profijt hebben van de vereenvoudigingsvoorstellen, aangezien deze van toepassing zijn op alle bedrijven die op de EU markt opereren, dus ook op niet-Europese bedrijven. Voor bepaalde onderdelen van de omnibussen heeft het kabinet echter vragen in hoeverre deze effectief de regeldruk verlagen.

Het voorstel voor de Omnibus Digitaal bevat maatregelen om te voorkomen dat bedrijfsgeheimen onder de Dataverordening onrechtmatig worden verkregen door of gedeeld met derde landen. Dit kan bijdragen aan het versterken van de open strategische autonomie van de EU.

6. Implicaties juridisch

1. Consequenties voor nationale en decentrale regelgeving en/of sanctionering beleid (inclusief toepassing van de lex silencio positivo)

De Omnibus Digitaal beoogt regeldruk van digitale regelgeving te verlagen. Ten eerste is het voorstel om de (deels aangepaste) regels uit de FFoD, DGA en de ODR op te nemen in de Dataverordening. Andere bestaande Europese regelgeving (geïmplementeerd in verscheidene Nederlandse regelgeving) over het gebruik van data blijft grotendeels onverminderd van kracht : artikel 1, vijfde, achtste en negende lid, van de Dataverordening bepaalt dat de verordening geen afbreuk doet aan de AVG, de bescherming van intellectuele eigendomsrechten en de bescherming van consumenten.

Artikel 37, eerste lid, van de Dataverordening bepaalt reeds dat een of meerdere bevoegde autoriteiten moeten worden aangewezen voor de uitvoering van handhaving van de verordening. Bij deze autoriteit(en) wordt een aantal taken belegd zoals klachtenafhandeling. De Dataverordening bepaalt expliciet dat voor zover het gaat om toezicht op de bescherming van persoonsgegevens de AVG-toezichthouder de bevoegde autoriteit is (in Nederland de Autoriteit Persoonsgegevens). Indien de Dataverordening wordt overtreden dan dienen de bevoegde autoriteiten sancties op te leggen. Artikel 40 van de Dataverordening bepaalt dat de sancties doeltreffend, evenredig, en afschrikkend moeten zijn. De Omnibus Digitaal wijzigt deze bepalingen niet, maar doordat de reikwijdte van de verordening wordt vergroot valt er wel meer regelgeving onder het takenpakket van de bevoegde autoriteiten en moeten meer sancties worden vastgesteld. Voor de huidige Europese regelgeving is dit reeds vastgesteld in de recent in werking getreden Uitvoeringswet dataverordening en de Uitvoeringswet datagovernanceverordening. De voorgestelde wijzigingen uit de Omnibus Digitaal betekenen dat de Uitvoeringswet datagovernanceverordening moet worden ingetrokken en de bepalingen worden opgenomen in de Uitvoeringswet dataverordening. Op grond van de FFoD en de ODR hoeven geen bevoegde autoriteiten aangewezen te worden en sancties te worden vastgesteld, maar door de bepalingen op te nemen in de Dataverordening lijkt dit wel te moeten. Aangezien het gaat om toezicht op overheden is dit onwenselijk. Doordat wordt voorgesteld om van de ODR een verordening te maken zal moeten worden bestudeerd in hoeverre, gelet op het overschrijfverbod, regels uit de Wet hergebruik overheidsinformatiemoeten vervallen.

Ten tweede wijzigt de Omnibus Digitaal Europese privacy regelgeving waaronder de AVG en de e-privacy richtlijn. De voorstellen leiden mogelijk tot wijziging van Nederlandse regelgeving. Dit zal nader worden onderzocht.

Ten derde wijzigt de Omnibus Digitaal Europese regelgeving in verband met het op richten van een Europees centraal meldpunt: NIS2 richtlijn, eIDAS verordening, AVG, DORA en CEP. Of de genoemde voorstellen tot wijzigingen zullen leiden binnen Nederlandse regelgeving blijft vooralsnog onduidelijk, en dient aldus nader te worden onderzocht.

Ten vierde wordt door de Omnibus Digitaal de P2B-verordening gefaseerd ingetrokken. Dit heeft tot gevolg dat de Wet publiek toezicht en handhaving verordening bevordering billijkheid en transparantie voor zakelijke gebruikers van onlinetussenhandelsdiensten moet worden aangepast en op termijn moet worden ingetrokken. In Boek 3 van het Burgerlijk Wetboek en het Wetboek van Burgerlijke Rechtsvordering zijn bepalingen opgenomen ter uitvoering van de regels uit de P2B verordening inzake collectieve acties. Deze bepalingen moeten ook worden geschrapt.

De Omnibus AI wijzigt de AI-verordening. Op dit moment heeft het kabinet een wetsvoorstel ter uitvoering van de AI verordening in voorbereiding. De voor de wijzigingen uit de Omnibus AI benodigde aanpassingen zullen, zodra de Omnibus AI in werking is getreden, in de nationale uitvoeringswetgeving moeten worden verwerkt. De inschatting is dat de benodigde aanpassingen beperkt van aard zullen zijn.

2. Gedelegeerde en/of uitvoeringshandelingen, incl. NL-beoordeling daarvan

In de Omnibus Digitaal worden diverse delegatiebevoegdheden aan de Commissie toegekend, die inhoudelijk overeenkomen met bevoegdheden die de Commissie al heeft op grond van de DGA en de ODR. In artikel 1, lid 18, van het voorstel (voorgestelde artikel 32u, tweede lid, van de Dataverordening) is een delegatiebevoegdheid opgenomen om in bijlage I nieuwe thematische categorieën van hoogwaardige datasets toe te voegen. Daarmee kan de scope van de regels rondom hoogwaardige datasets worden uitgebreid. Deze bevoegdheid komt inhoudelijk overeen met de bevoegdheid in artikel 13 van de ODR. Van deze bevoegdheid heeft de Commissie tot op heden nog geen gebruik gemaakt. Daarnaast bevat artikel 1, lid 18, van het voorstel (het voorgestelde artikel 32x, zevende lid, van de Dataverordening) een delegatiebevoegdheid voor de vaststelling van bijzondere voorwaarden voor de doorgifte van bepaalde niet-persoonsgebonden gegevens aan derde landen. Het doel van deze bevoegdheid is om beleidsdoelstellingen van de Unie, zoals volksgezondheid en veiligheid, te beschermen en het risico op heridentificatie te beperken. Deze bevoegdheid komt inhoudelijk overeen met de bevoegdheid in artikel 5, dertiende lid, van de DGA. Van deze bevoegdheid heeft de Commissie tot op heden ook nog geen gebruik gemaakt.

Het toekennen van deze bevoegdheden is mogelijk, omdat het geen essentiële onderdelen van de basishandeling betreft. Toekenning van deze bevoegdheden acht het kabinet wenselijk, vanwege de behoefte aan flexibiliteit, het niet hoeven te belasten van wetgevingsprocedure en, in het geval van de bevoegdheid om bijzondere voorwaarden voor doorgifte vast te stellen, ook snelheid. Delegatie i.p.v. uitvoering ligt hier voor de hand omdat het gaat om het aanvullen van de basishandeling. Het kabinet acht deze bevoegdheid voldoende afgebakend. Bovendien ligt het in de rede om deze, inhoudelijk reeds bestaande, bevoegdheden in stand te houden bij het opnemen van de betreffende onderdelen van de ODR en DGA in de Dataverordening.

Aandachtspunt is dat in artikel 1, lid 24, van het voorstel (voorgestelde artikel 45 van de Dataverordening) de bepaling over de uitoefening van de bevoegdheidsdelegatie wordt gewijzigd, maar een verwijzing naar het voorgestelde artikel 32x, zevende lid, van de Dataverordening ontbreekt.

In de Omnibus Digitaal zijn verder ook uitvoeringsbevoegdheden voor de Commissie opgenomen. De voorgestelde bevoegdheden voor in de Dataverordening komen inhoudelijk overeen met de bevoegdheden die de Commissie al heeft op grond van de DGA en de ODR. In de eerste plaats is in artikel 1, lid 18, van het voorstel (beoogde artikel 32a, vierde lid, van de Dataverordening) een uitvoeringsbevoegdheid voor de Commissie opgenomen tot vaststelling van een gemeenschappelijk logo voor databemiddelingsdiensten en data altruïstische organisaties. Deze bevoegdheid komt inhoudelijk overeen met de bevoegdheid in de artikelen 11, negende lid, en 17, tweede lid, van de DGA. In de tweede plaats is in artikel 1, lid 18, van het voorstel (beoogde artikel 32v, eerste lid, van de Dataverordening) een uitvoeringsbevoegdheid voor de Commissie opgenomen voor het vastleggen lijst van specifieke hoogwaardige datasets die behoren tot de in bijlage I vermelde categorieën. Deze bevoegdheid komt inhoudelijk overeen met de bevoegdheid in artikel 14, eerste lid, van de ODR. In de derde plaats is in artikel 1, lid 18, van het voorstel (het beoogde artikel 32x, derde lid, van de Dataverordening) een uitvoeringsbevoegdheid voor de Commissie opgenomen voor de vaststelling van modelcontractbepalingen. Deze bevoegdheid komt inhoudelijk overeen met eenzelfde bevoegdheid die op dit moment is geregeld in artikel 5, elfde lid, van de DGA. In de vierde plaats is in artikel 1, lid 18, van het voorstel (beoogde artikel 32x, vijfde lid, van de Dataverordening) een uitvoeringsbevoegdheid voor de Commissie opgenomen met betrekking tot de juridische, toezichts- en handhavingsregelingen van een derde land. Deze bevoegdheid komt inhoudelijk overeen met eenzelfde bevoegdheid die op dit moment is geregeld in artikel 5, twaalfde lid, van de DGA.

Het kabinet staat positief tegenover deze uitvoeringsbevoegdheden. Het toekennen van deze bevoegdheden is mogelijk, omdat het niet essentiële onderdelen van de basishandeling betreft. Toekenning van deze bevoegdheden acht het kabinet wenselijk, vanwege de behoefte aan flexibiliteit, snelheid en het niet hoeven te belasten van wetgevingsprocedure. De keuze voor uitvoering i.p.v. delegatie ligt hier voor de hand omdat het gaat om uitvoering van de betreffende verordening volgens eenvormige voorwaarden. De uitvoeringsverordening ter vaststelling van het gemeenschappelijk logo wordt vastgesteld volgens de raaplegingsprocedure als bedoeld in artikel 4 van verordening 182/2011. Volgens het kabinet is dat op zijn plaats. Het gemeenschappelijk logo betreft een uitvoeringshandeling van algemene strekking in de zin van artikel 2, tweede lid onder a van verordening 182/2011. Dan is volgens artikel 2, lid 2 van verordening 182/2011 in de regel de onderzoeksprocedure van toepassing. Uit artikel 2, lid 3 van verordening 182/2011 blijkt dat de raadplegingsprocedure echter ook van toepassing kan zijn in dergelijke situaties. Volgens het kabinet is de raadplegingsprocedure hier op zijn plaats, omdat het gemeenschappelijk logo in zijn huidige vorm reeds bestaat, en reeds is vastgelegd in een andere uitvoeringshandeling. Het in wezen verplaatsen van dezelfde bepalingen behoeft volgens het kabinet niet volgens de onderzoeksprocedure te geschieden.

De Omnibus Digitaal bevat verder bevoegdheden voor de Commissie om een aantal uitvoeringshandelingen vast te stellen op grond van de AVG, specifiek in artikel 3, lid 8 sub c van het voorstel, artikel 3, lid 9, sub b van het voorstel en artikel 3, lid 10 van het voorstel. Op grond van artikel 3, lid 8, sub c, van het voorstel wordt lid 6 toegevoegd aan artikel 33 van de AVG. Dit betreft een uitvoeringsbevoegdheid voor de Commissie om de standaarden voor datalekmeldingen en omschrijving van hoog risico gevallen voor datalekken vast te stellen. In artikel 3, lid 9, sub b, van het voorstel wordt lid 6a toegevoegd aan artikel 35. Dit betreft de bevoegdheid voor de Commissie om uitvoeringshandelingen vast te stellen die zien op lijsten van gevallen waarin DPIA’s wel of niet verplicht zijn. In artikel 3, lid 10 van het voorstel wordt een nieuw artikel 41a toegevoegd aan de AVG. Dit betreft een bevoegdheid voor de Commissie om uitvoeringshandelingen vast te stellen om criteria en middelen te omschrijven om zo te bepalen wanneer er geen sprake meer is van persoonsgegevens in geval van pseudonimisering.

Het toekennen van de bevoegdheden in artikel 3, lid 8 sub c en artikel 3, lid 9, sub d van het voorstellen is wel mogelijk, omdat het geen essentiële onderdelen van de basishandeling betreft. Toekenning van bevoegdheden om dit op het niveau van lagere regelgeving te regelen in plaats van in de basishandeling kan wenselijk zijn, gelet op de noodzaak tot flexibiliteit en snelheid bij het vaststellen van deze standaarden. Wel geldt, zoals eerder aangegeven in onderdeel 3b van het fiche, dat vanuit beleidsmatig perspectief het kabinet van mening is dat deze bevoegdheden reeds adequaat zijn belegd bij het Europees comité voor gegevensbescherming.

De keuze voor uitvoering i.p.v. delegatie ligt verder voor de hand, doordat het de uitvoering van de AVG volgens eenvormige voorwaarden zou betreffen. De uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure als bedoeld in artikel 5 van verordening 182/2011. Toepassing van deze procedure is hier volgens het kabinet wel op zijn plaats omdat het gaat om uitvoeringshandelingen van algemene strekking als bedoeld in artikel 2 van verordening 182/2011. Desondanks geldt dat het kabinet beleidsmatig in het algemeen geen voorstander van deze nieuwe bevoegdheden is, zoals reeds aangegeven in onderdeel 3b van dit fiche, nu de verschuiving van deze bevoegdheden van de EDPB en de onafhankelijke toezichthouders naar de Commissie zou leiden tot het risico van meer politieke besluitvorming met betrekking tot grondrechtenbescherming zonder grotere rechtszekerheid.

Het toekennen van de bevoegdheid van artikel 3, lid 10 van het voorstel is niet mogelijk. Omdat deze uitvoeringshandelingen die de Commissie op basis van dit artikel zou kunnen vaststellen betrekking hebben op de definitie van persoonsgegevens (artikel 41a), betreft dit een essentieel onderdeel van de basishandeling, dat zich niet leent voor uitwerking in uitvoeringshandelingen. Dergelijke uitvoeringshandelingen zouden immers mogelijk betrekking hebben op de reikwijdte van het grondrecht op bescherming van persoonsgegevens. De AVG is immers een uitwerking van het recht op gegevensbescherming. Weliswaar kunnen grondrechten worden ingeperkt, maar niet via een uitvoeringshandeling, nu dergelijke beperkingen essentiële onderdelen van de basishandeling betreffen. Toekenning van deze bevoegdheden acht het kabinet in dat kader eveneens niet wenselijk, en de keuze voor uitvoering ligt dan ook niet voor de hand. De uitvoeringshandelingen worden vastgesteld volgens de procedure voor onmiddellijk toepasselijke uitvoeringshandelingen als bedoeld in artikel 8 van verordening 182/2011 in samenhang gelezen met de onderzoeksprocedure als bedoeld in artikel 5 van die verordening. Toepassing van deze procedure is hier volgens het kabinet niet op zijn plaats omdat geen sprake is van naar behoren gemotiveerde redenen van urgentie. Het kabinet is bovendien beleidsmatig geen voorstander van deze nieuwe bevoegdheden voor de Commissie, zoals reeds aangegeven in onderdeel 3b van dit fiche.

Ook kan de Commissie op grond van artikel 9, lid 2, van het Omnibus Digitaal-voorstel (het voorgestelde artikel 15(2) CER) een uitvoeringshandeling vaststellen waarin het type en de vorm van de overeenkomstig het eerste lid gemelde informatie nader worden gespecificeerd. Het gaat om informatie over incidenten die de levering van essentiële diensten aanzienlijk verstoren of het potentieel hebben om deze aanzienlijk te verstoren, waarvan kritieke entiteiten via het Europees meldpunt de bevoegde autoriteit onverwijld in kennis stellen. Het toekennen van deze bevoegdheid is wel mogelijk, omdat het niet essentiële onderdelen van de basishandeling betreft. Toekenning van deze bevoegdheid acht het kabinet wenselijk, vanwege de behoefte aan flexibiliteit, snelheid en het niet hoeven te belasten van wetgevingsprocedure. De keuze voor uitvoering i.p.v. delegatie ligt hier voor de hand omdat het gaat om uitvoering van de verordening volgens eenvormige voorwaarden. De uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure als bedoeld in artikel 5 van verordening 182/2011. Toepassing van deze procedure is hier volgens het kabinet wel op zijn plaats omdat er sprake is van uitvoeringshandelingen van algemene strekking (artikel 2, onder 2, van verordening 182/2011).

De Commissie krijgt in artikel 1, lid 12, van het Omnibus AI-voorstel (wijziging artikel 30, lid 2, AI-verordening) de bevoegdheid om door middel van gedelegeerde handelingen wijzigingen aan te brengen in bijlage XIV bij de verordening, waarin codes en categorieën zijn opgenomen die moeten worden gebruikt bij het aanmelden door de lidstaten van conformiteitsbeoordelingsinstanties. Het toekennen van deze bevoegdheid is mogelijk, omdat het geen essentiële onderdeel van de basishandeling betreft. Toekenning van deze bevoegdheid acht het kabinet wenselijk, omdat er op deze wijze snel en flexibel kan worden ingespeeld op technologische ontwikkelingen op het gebied van AI zonder de wetgevingsprocedure te hoeven belasten. Het kabinet kan zich vinden in de keuze voor gedelegeerde handelingen, omdat het een bevoegdheid betreft om de basishandeling te wijzigen. De gedelegeerde handelingen worden overeenkomstig artikel 97 van de verordening uitgeoefend. Het kabinet kan zich vinden in de daarin opgenomen mogelijkheden van controle op de bevoegdheidsdelegatie, waaronder de toekenning

voor bepaalde tijd met de mogelijkheid van stilzwijgende verlenging. De Omnibus AI voorziet echter niet in wijziging van artikel 97 van de AI-verordening, waardoor niet duidelijk is of dat artikel volledig van toepassing zal zijn op de bevoegdheid om gedelegeerde handelingen op te stellen op grond van artikel 30, lid 2, AI-verordening. Het kabinet zal in de onderhandelingen aandringen op het herstellen van deze omissie in het voorstel.

In de Omnibus AI zijn ook uitvoeringsbevoegdheden voor de Commissie opgenomen. De Commissie krijgt in artikel 1, lid 18, van het voorstel (wijziging artikel 58, lid 1, AI-verordening) ook de bevoegdheid om uitvoeringshandelingen vast te stellen waarmee gemeenschappelijke beginselen kunnen worden vastgesteld met betrekking tot gedetailleerde regels met betrekking tot de uitvoering van de AI-testomgeving voor de regelgeving. Het toekennen van deze bevoegdheid is mogelijk, omdat het geen essentiële onderdelen van de basishandeling betreft. Toekenning van deze bevoegdheid acht het kabinet wenselijk, omdat er op deze wijze snel en flexibel kan worden ingespeeld op technologische ontwikkelingen op het gebied van AI en veranderende inzichten en wensen met betrekking tot de AI-testomgeving voor de regelgeving, zonder de wetgevingsprocedure te hoeven belasten. Het kabinet kan zich vinden in de keuze voor uitvoering (in plaats van delegatie), omdat het hier gaat om uitvoering van de verordening volgens eenvormige voorwaarden. Ook kan het kabinet zich vinden in de keuze voor de onderzoeksprocedure, omdat het voor de voorgestelde bevoegdheid tot het vaststellen van uitvoeringshandelingen in artikel 1, lid 18, van het voorstel gaat om handelingen van algemene strekking in de zin van artikel 2, lid 2, sub a, van verordening 182/2011.

Tot slot krijgt de Commissie in artikel 1, lid 25, sub c, van het voorstel de bevoegdheid om uitvoeringshandelingen vast te stellen waarin handhavingsbevoegdheden van de Commissie worden bepaald, waaronder het opleggen van boetes en andere sancties (wijziging van artikel 75 van de AI-verordening). Deze handhavingsbevoegdheden gelden voor de categorieën van AI-systemen ten aanzien waarvan de Commissie in plaats van de lidstaten bevoegd zal zijn voor het markttoezicht, namelijk AI-systemen die zijn gebaseerd op AI-modellen voor algemene doeleinden en AI-systemen die onderdeel zijn van een zeer groot online platform of zeer groot online zoekmachine in de zin van de digitale dienstenverordening. Het toekennen van deze bevoegdheid om handhavingsbevoegdheden vast te stellen is naar het oordeel van het kabinet niet mogelijk. Het toekennen van handhavingsbevoegdheden en sancties, waaronder bestraffende sancties als een boete, behoort tot de essentiële onderdelen van de basishandeling om de volgende redenen. Het bepalen van welke sancties van toepassing zijn op een overtreding van de verordening vergt een politieke afweging. Bij het opleggen van sancties kan bovendien sprake zijn van inmenging in grondrechten, zoals het recht op eigendom. Tot slot is een boete een punitieve sanctie, die altijd regeling in de basishandeling behoeft. Ter ondersteuning van dit standpunt kan nog worden genoemd dat de handhavingsbevoegdheden van de Commissie ten aanzien van AI-modellen voor algemene doeleinden, een andere categorie onder de AI-verordening ten aanzien waarvan de Commissie bevoegd is voor markttoezicht, wel in de verordening zelf zijn opgenomen (zie de artikelen 88 tot en met 94 en 101 van de AI-verordening). De inzet van het kabinet is om de handhavingsbevoegdheden voor de categorieën ‘AI-systemen die zijn gebaseerd op AI-modellen voor algemene doeleinden’ en ‘AI-systemen die onderdeel zijn van een zeer groot online platform of zeer groot online zoekmachine’ ook in de verordening op te nemen en de grondslag voor het opstellen van uitvoeringshandelingen te schrappen. Als de grondslag voor het stellen van uitvoeringshandelingen er desondanks komt, dan acht het kabinet de toekenning van deze bevoegdheden ook niet wenselijk, omdat de belangrijke voordelen van het stellen van regels in uitvoeringshandelingen, zoals flexibiliteit en snelheid, niet aan de orde zijn bij het toekennen van handhavingsbevoegdheden. De keuze voor uitvoering i.p.v. delegatie ligt hier bovendien niet voor de hand omdat het gaat om het aanvullen van de basishandeling met handhavingsbevoegdheden van de Commissie (artikel 290 VWEU). In het voorstel wordt niet verwezen naar een comitéprocedure, hetgeen erop duidt dat hier een zelfstandige uitvoeringshandeling wordt voorgesteld, waarbij de lidstaten geen rol (controlemogelijkheden) hebben en wordt afgeweken van de procedures uit de Comitologieverordening. Het kabinet is om die redenen geen voorstander van het toekennen van een zelfstandige uitvoeringsbevoegdheid aan de Commissie. Bovendien acht het kabinet het toekennen van handhavingsbevoegdheden aan de Commissie waarbij een evenwicht moet worden gevonden tussen de uiteenlopende belangen die aan de orde zijn niet acceptabel.

3. Voorgestelde implementatietermijn (bij richtlijnen), dan wel voorgestelde datum inwerkingtreding (bij verordeningen en besluiten) met commentaar t.a.v. haalbaarheid

De Omnibus Digitaal treedt grotendeels in werking op de derde dag na publicatie van de Omnibus Digitaal. Er zijn een aantal uitzonderingen. Een aantal wijzigingen in de regels over de verwerking van persoonsgegevens in eindapparatuur treedt pas na inwerkingtreding van de Omnibus Digitaal in werking : het nieuwe artikel 88a AVG 6 maanden later; het nieuwe artikel 88b, eerste en tweede lid, AVG 2 jaar later en het zesde lid 4 jaar later; artikel 37, nieuwe zevende tot en met negende lid, van Verordening (EU) 2018/1725 2 jaar later en artikel 5, derde lid, nieuwe subparagraaf, ePrivacy richtlijn 6 maanden na publicatie van de Omnibus Digitaal. De bepalingen over het Europees meldpunt treden 18 maanden na inwerkingtreding van de verordening in werking, tenzij de Commissie in haar verslag overeenkomstig het voorgestelde artikel 23a, zevende lid, NIS2 richtlijn, vaststelt dat het Europees meldpunt de goede werking, betrouwbaarheid, integriteit of vertrouwelijkheid niet waarborgt, dan treden die bepalingen in werking 24 maanden na inwerkingtreding van deze verordening. Omwille van de rechtszekerheid blijven een aantal artikelen uit de P2B verordening van toepassing tot en met 31 december 2032 omdat andere Europese regelgeving daarnaar verwijst.

De voorgestelde datum van inwerkingtreding is haalbaar doordat artikel 10(4) Omnibus Digitaal bepaalt dat verwijzingen naar de DGA, FFoD en ODR gelezen worden als verwijzingen naar de gewijzigde Dataverordening. Daardoor blijven de bepalingen in de Uitvoeringswet datagovernanceverordening en de implementatie van de ODR in de Wet hergebruik van overheidsinformatie gelden totdat deze wetgeving is aangepast. Aangezien een aantal bepalingen uit de DGA en ODR zijn gewijzigd en nieuwe regels zijn toegevoegd kan dit in de praktijk tot onduidelijkheden leiden. Daarom moet het wetsvoorstel voor de Omnibus Digitaal voortvarend opgepakt worden.

De Omnibus AI treedt in werking op de derde dag na publicatie van de Omnibus AI. Naar verwachting zal ter uitvoering van de wijzigingen van de AI verordening in beperkte mate uitvoeringsbepalingen in nationaal recht nodig zijn. De voorgestelde datum van inwerkingtreding is haalbaar als het uitvoeringswetsvoorstel voor de AI verordening, dat nu in voorbereiding is, op het moment van inwerkingtreding van de Omnibus AI nog niet is aangenomen door de Tweede Kamer en aangepast kan worden aan de Omnibus AI.

4. Wenselijkheid evaluatie-/horizonbepaling

De nieuwe hoofdstukken VIIa, VIIb en VIIc in de Dataverordening over databemiddelingsdiensten en data-altruïstische organisaties, het verbod op datalocatievereisten en het hergebruik van gegevens en documenten van openbare lichamen worden vijf jaar na inwerkingtreding van de Omnibus Digitaal geëvalueerd. De overige onderdelen van de Omnibus Digitaal gaan mee met de reguliere evaluatie van de betreffende Europese regelgeving. Zo wordt de Dataverordening uiterlijk op 12 september 2028 geëvalueerd en de AVG in 2028. Dit betekent dat de evaluatie van het Europees meldpunt versnipperd wordt geëvalueerd. Dit laatste acht het kabinet onwenselijk.

De AI-verordening voorziet in verschillende evaluaties door de Europese Commissie, te verrichten uiterlijk in 2028 of 2029. Hierbij kunnen ook de wijzigingen van de AI-verordening door de Omnibus AI worden meegenomen. Dit acht het kabinet voldoende.

5. Constitutionele toets

De Commissie verwacht dat het voorstel voor de Omnibus AI geen gevolgen zal hebben voor de bescherming van fundamentele rechten gezien het voorstel gerichte wijzigingen bevat die de inhoudelijke eisen uit de AI-verordening niet materieel veranderen. Bij de totstandkoming van de AI-verordening is een balans gevonden tussen het ontwikkelen en gebruiken van AI en het beschermen van de grondrechten. Het kabinet vindt het belangrijk dat deze balans ook na wijziging van de AI-verordening nog steeds goed is en zal daar – waar nodig – aandacht voor vragen.

De Commissie verwacht dat het voorstel voor de Omnibus Digitaal de innovatiekansen voor bedrijven zal bevorderen en daarmee het vrijheid van ondernemerschap bevordert. De Commissie geeft aan dat het voorstel impact heeft op het recht op privacy en het recht op gegevensbescherming en acht deze proportioneel. Het kabinet ziet dat sommige aanpassingen aan de AVG inderdaad een fundamentele impact hebben op het recht op privacy en het recht op gegevensbescherming. Bij gebrek aan impact assessment en advies van de EPDB en EDPS kan het kabinet de proportionaliteit ervan niet beoordelen Het kabinet heeft zorgen bij de proportionaliteit bij een aantal van de voorstellen. De inperking van de bevoegdheid voor overheden om data bij bedrijven op te vragen in situaties van ‘uitzonderlijke noodzaak’ tot alleen ‘algemene noodsituaties’ acht het kabinet een verbetering voor het recht op gegevensbescherming.

7. Implicaties voor uitvoering en/of handhaving

Uitvoerbaarheid:

De omnibussen bevatten gerichte wijzigingen van Europese regelgeving die in Nederland al worden uitgevoerd en de AI-verordening, waar momenteel uitvoering aan wordt gegeven. Het kabinet onderzoekt de gevolgen voor de uitvoering nog. Deze zullen naar verwachting samenhangen met eventuele aanpassingen in de inrichting van de uitvoeringstaken bij de betrokken uitvoeringsorganisaties. Het gaat daarbij om taken die eerder zijn toegekend naar aanleiding van de Europese wetgeving die met deze Omnibus Digitaal wordt gewijzigd. Het kabinet verwacht niet dat de voorstellen tot significante nieuwe uitdagingen met betrekking tot de uitvoering van de onderliggende Europese wetten leidt omdat de voorstellen beogen de wetgeving te versimpelen.

Handhaafbaarheid:

De omnibussen bevatten gerichte wijzigingen van Europese regelgeving die in Nederland al worden gehandhaafd en de AI-verordening, waar momenteel uitvoering aan wordt gegeven. Het kabinet onderzoekt de gevolgen voor de handhaafbaarheid nog, maar verwacht niet dat de voorstellen tot significante nieuwe uitdagingen met betrekking tot de uitvoering van de onderliggende Europese wetten leidt omdat de voorstellen beogen de wetgeving te versimpelen.

8. Implicaties voor ontwikkelingslanden

Geen implicaties voor ontwikkelingslanden anders dan de genoemde consequenties voor derde landen in het algemeen, zoals aangegeven in onderdeel 5d.

---

1. Verordening (EU) 2024/1689↩︎

2. Zoals gedefinieerd in artikel 33 van Verordening (EU) 2022/2065 (digitaledienstenverordening)↩︎

3. Richtlijn (EU) 2019/1024↩︎

4. Verordening (EU) 2018/1724↩︎

5. Verordening (EU) 2018/1807↩︎

6. Organisaties die vrijwillig datadelen voor doeleinden van algemeen belang faciliteren↩︎

7. Verordening (EU) 2023/2854↩︎

8. Verordening (EU) 2022/1925↩︎

9. Zoals gedefinieerd in Aanbeveling (EU) 2025/1099 van de Commissie↩︎

10. ECLI:EU:C:2025:645↩︎

11. (EU) 2022/2557 (Richtlijn betreffende de weerbaarheid van kritieke entiteiten)↩︎

12. (EU) 2022/2554 (Verordening betreffende digitale operationele weerbaarheid voor de financiële sector)↩︎

13. (EU) 2024/1183 (Verordening betreffende de vaststelling van het Europees kader voor digitale identiteit)↩︎

14. Kamerstukken II 2025/2026, 21501, nr. 33-1164↩︎

15. Strategie Digitale Economie, Kamerstukken II 2022/23, 26 643, nr. 941; Voortgangsrapportage Strategie Digitale Economie, Kamerstukken II 2024/25, 26 643, nr. 1309.↩︎

16. Strategie Digitale Economie, Kamerstukken II 2022/23, 26 643, nr. 941.↩︎

17. HvJ EU 4 september 2025, C-413/23 P ECLI:EU:C:2025:645↩︎