Preview document (🔗 origineel)

---

22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Nr. 4288 Verslag van een schriftelijk overleg

Vastgesteld 9 maart 2026

De vaste commissie voor Digitale Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de staatssecretaris van Economische Zaken en Klimaat over de brief van 12 december 2025 inzake de brieven d.d. 12 december 2025 ‘Fiche: Omnibus AI en Omnibus Digitaal’ (Kamerstuk 22 112, nr. 4223) en d.d. 19 december 2025 ‘Fiche: Data Unie Strategie’ (Kamerstuk 22 112, nr. 4227).

De vragen en opmerkingen zijn op 28 januari 2026 aan de staatssecretaris van Economische Zaken en Klimaat voorgelegd. Bij brief van 9 maart 2026 zijn de vragen beantwoord.

De fungerend voorzitter van de commissie,

Kathmann

Adjunct-griffier van de commissie,

Muller

Inleiding

Hierbij zend ik u mede namens de minister van Justitie en Veiligheid, de minister van Binnenlandse Zaken en Koninkrijksrelaties en de staatssecretaris van Justitie en Veiligheid de antwoorden op de vragen van de vaste commissie voor Digitale Zaken inzake de brieven d.d. 12 december 2025 ‘Fiche: Omnibus AI en Omnibus Digitaal’ en d.d. 19 december 2025 ‘Fiche: Data Unie Strategie’ (Kamerstuk 22 112, nr. 4223, ingezonden 29 januari 2026). Tevens beantwoord ik middels deze brief het verzoek om reactie op informatieafspraken over EU-voorstel Digitaal Pakket (Digitale Omnibus en Omnibus AI) (2026D02184, ingezonden 22 januari 2026).

Met de meeste door u voorgestelde informatieafspraken kan ik instemmen. Ik streef ernaar uw Kamer ondanks de hoge snelheid van de onderhandelingen zo goed mogelijk over de voortgang van de onderhandelingen te informeren. Daarbij ben ik wel gebonden aan de informatie-afspraken binnen de Raad en de vertrouwelijkheid van onderhandelingsstukken.

Langs deze weg zou ik willen voorstellen uw Kamer regulier te informeren over de voortgang van de onderhandelingen via de geannoteerde agenda van de Telecomraad te laten lopen in plaats van de geannoteerde agenda van de Raad Algemene Zaken (RAZ) en de kwartaalrapportages over de stand van zaken rondom de behandeling van de Europese wetgevingsvoorstellen op het terrein van EZK. De geannoteerde agenda voor de Telecomraad komt in tegenstelling tot de geannoteerde agenda voor de RAZ ter behandeling terecht bij de vaste Kamercommissie Digitale Zaken. Daarnaast laat de geannoteerde agenda voor de Telecomraad meer ruimte voor inhoudelijke toelichting op de voortgang van de onderhandelingen dan de kwartaalrapportages rondom Europese wetgevingsvoorstellen op het terrein van EZK.

In deze beantwoording informeer ik u conform de informatie-afspraken van substantiële ontwikkelingen in de onderhandelingen sinds het verschijnen van de voorstellen.

Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon

1
De leden van de D66-fractie hebben met interesse kennisgenomen van het BNC fiche voor de Omnibus AI en Omnibus Digitaal en het BNC fiche Data Unie Strategie. Deze leden hebben enkele vragen over de inzet van het kabinet en enkele technische vragen met betrekking tot de voorstellen.

Zij steunen de doelstelling van de Europese Commissie en het kabinet om regeldruk te verminderen en regelgeving te vereenvoudigen. De leden van de D66-fractie vinden dat dit daadwerkelijk en aantoonbaar moet leiden tot vermindering van regeldruk, en daarbij ook aantoonbaar (digitale) grondrechten in stand moet houden. Deze leden delen de inzet van het kabinet dat vereenvoudiging van de beleidsdoelstellingen van bestaande wetgeving niet moet afzwakken en dat daar in meerdere gevallen bij de omnibussen wel sprake van is. Zij vinden het onacceptabel om wetgeving te wijzigen met impact op grondrechten zonder daarover de consequenties inzichtelijk te hebben. De leden van de D66-fractie vragen of het kabinet het doen van een integrale impact assessment voorwaardelijk maakt aan de steun voor de omnibus, en hoe het kabinet de positie van de Autoriteit Persoonsgegevens beoordeelt ten aanzien van de wijzigingen in de Algemene Verordening Gegevensbescherming (AVG).

Antwoord

In het algemeen past de omnibusaanpak van de Europese Commissie (EC) binnen de bredere doelstelling van het kabinet om de regeldruk terug te dringen. Het kabinet vindt het daarbij wel van belang dat bij ingrijpende inhoudelijke wijzigingen aan wetgeving over grondrechten een impact assessment wordt uitgevoerd. Het kabinet ziet dat een aantal aanpassingen aan de AVG een fundamentele impact kunnen hebben op grondrechten, namelijk het recht op privacy en het recht op gegevensbescherming. Het ontbreken van een impact assessment maakt het voor het kabinet lastig om de effecten van deze voorstellen goed te beoordelen, zowel met betrekking tot de regeldrukverlagende effecten als de impact op grondrechten en nationale bevoegdheden. Ook dient duidelijk te zijn welke verdere maatschappelijke gevolgen de voorgestelde veranderingen van de AVG zullen hebben, aangezien de AVG voor de hele samenleving en niet alleen in de relatie tussen burgers en bedrijven geldt. Het kabinet zal de EC daarom blijven verzoeken om een uitgebreide analyse van de impact van deze voorstellen te presenteren. Een formeel impact assessment is echter niet de enige manier om deze inzet te waarborgen. Met het oog op de beoordeling van de voorstellen hecht het kabinet tevens belang aan het position paper van de Autoriteit Persoonsgegevens (AP),¹ en in het bijzonder aan de gezamenlijke opinie die het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) op 10 februari 2026 hebben vastgesteld en die door het kabinet momenteel wordt bestudeerd.²

Daarnaast heeft de EC haar voorstel nader toegelicht middels een Staff Working Document³ (SWD). Voorstellen met risico's voor grondrechten dienen, op basis van grondige analyse, te worden behandeld op een wijze die recht doet aan de zorgpunten en in het bijzonder de potentiële impact op grondrechten. De impact op grondrechten weegt voor het kabinet zwaar in haar oordeel over dit voorstel.

2

Deze leden vragen daarbij hoe het kabinet aankijkt naar de positie van de Europese Toezichthouder en het Comité voor Gegevensbescherming (EDPS) met betrekking tot het strikt limiteren van de inzet van bijzondere persoonsgegevens. Deelt het kabinet deze noodzaak en hoe beoordeelt het kabinet de aanbeveling om verwerking van gevoelige data voor bias-detectie strikt te limiteren? Ook vragen zij hoe het kabinet het oordeel weegt ten aanzien van het schrappen van de registratieplicht voor hoog-risico AI-systemen, waarbij aanbieders zelf mogen wegen of hun systeem wel of niet hoog-risico is. Vindt het kabinet dat hier voldoende publieke en democratische verantwoording wordt afgelegd indien aanbieders zelf deze inschatting maken?

Antwoord

Met betrekking tot de uitgebreide grondslag voor het verwerken van bijzondere persoonsgegevens voor detectie en correctie van bias in AI-systemen en modellen vinden het EDPB en de EDPS dat dergelijke gegevensverwerking alleen dient te zijn toegestaan in strikt afgebakende situaties, wanneer de risico’s op discriminatie ernstig zijn en er passende waarborgen gelden. De EDPB en EDPS adviseren om de eis te behouden die nu al geldt op grond van artikel 10, tweede lid, onder f, en vijfde lid, aanhef, namelijk dat de gegevensverwerking strikt noodzakelijk moet zijn voor de beoordeling en correctie met het oog op mogelijke vooringenomenheid die waarschijnlijk gevolgen heeft voor de gezondheid en de veiligheid van personen, nadelige effecten heeft op de grondrechten, of leidt tot discriminatie die op grond van het Unierecht verboden is, vooral wanneer data-outputs invloed hebben op inputs voor toekomstige operaties. Het kabinet deelt deze analyse van de EDPB/EDPS en is voorstander van het strikt limiteren van de inzet van bijzondere persoonsgegevens.

Zoals aangegeven in het BNC-fiche heeft het kabinet bezwaren tegen het schrappen van de registratieplicht voor hoog risico AI-systemen die alleen voor beperkte of procedurele taken worden gebruikt. Dit verlaagt de transparantie over het gebruik van AI-systemen in hoog risico context en bemoeilijkt het toezicht op deze systemen. Deze maatregel levert bovendien slechts een zeer beperkte verlichting van regeldruk op. Er lijkt voldoende steun in de Raad om deze registratieplicht in lijn met de kabinetsinzet in stand te houden.

3

De leden van de D66-fractie vragen hoe Nederland Europees gaat optrekken om ervoor te zorgen dat de AVG niet wordt gewijzigd op deze verstrekkende wijze, gezien het hier niet gaat om versimpeling en reductie van regeldruk maar voornamelijk het afzwakken van grondrechten met gevolgen die niet te overzien zijn.

Antwoord

Zoals uiteengezet in het BNC-fiche, steunt het kabinet het doel van het voorstel om de regeldruk te verminderen en betere regelgeving te bevorderen. Tegelijkertijd ziet het kabinet dat een deel van de voorstellen verder gaat dan het versimpelen van regelgeving. Daarbij komt dat enkele voorstellen het niveau van gegevensbescherming wezenlijk lijken te verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk. Zoals uiteengezet in het BNC-fiche, heeft Nederland hier serieuze zorgen over. Vanzelfsprekend dient de bescherming van grondrechten goed te blijven gewaarborgd.

Nederland zet er allereerst op in dat fundamentele wijzigingen bij de onderhandelingen worden behandeld op een wijze die recht doet aan de potentiële impact ervan. De risico's en impact van de voorstellen dienen helder te zijn. Nederland heeft daarom de EC verzocht een uitgebreidere analyse te presenteren van de impact van de voorstellen die verdergaan dan versimpeling. Nederland heeft daarnaast aangegeven dat het advies van de EDPS in samenspraak met de EDPB moet worden betrokken bij de bespreking van deze voorstellen. Het kabinet zal vervolgens trachten om de voorstellen die zich daarvoor lenen, waar dit mogelijk is, in lijn met de kabinetsinzet en inhoudelijke zorgpunten te verbeteren. Het kabinet heeft haar zorgen op deze punten geuit in de onderhandelingen en heeft reeds enkele amendementen ingediend die deze zorgen adresseren. Daarbij wordt steun gezocht bij gelijkgestemde lidstaten.

4

Deze leden lezen dat het kabinet nog geen standpunt heeft ingenomen met betrekking tot de wijzigingen in AI-geletterdheid en vragen hoe het kabinet het principe weegt dat de verantwoordelijkheid voor het bevorderen van AI-geletterdheid in het Commissievoorstel is verschoven van bedrijven naar overheden. Zij vragen of het niet ook aan de bedrijven die AI-systemen bouwen en gebruiken zélf is om te bevorderen dat hun personeel voldoende geletterd is in het gebruik van AI, in plaats van deze verantwoordelijkheid zuiver bij de Europese Commissie en lidstaten te leggen.

Antwoord

Het kabinet ziet het bevorderen van AI-geletterdheid bij personeel dat met AI werkt als een belangrijk doel. Uiteindelijk is het inderdaad voor een belangrijk deel de verantwoordelijkheid van organisaties die AI-systemen bouwen en gebruiken om de AI-geletterdheid van hun personeel te bevorderen. Een brede wettelijke verplichting is echter niet de enige manier om te stimuleren dat organisaties de AI-geletterdheid van hun personeel bevorderen. Volgens de voorgestelde aanpassingen is het niet zuiver de verantwoordelijkheid van lidstaten en de EC om AI-geletterdheid te bevorderen. Lidstaten en de EC worden verplicht organisaties te stimuleren AI-geletterdheid te bevorderen. De organisaties zelf zullen dit in de praktijk nog steeds moeten doen.

De verplichting in de AI-verordening, waarbij organisaties maatregelen dienen te nemen om te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel, is onvoldoende duidelijk en creëert onzekerheid bij organisaties die aan deze verplichting moeten voldoen. Het kabinet zet erop in dat organisaties hun verantwoordelijkheid nemen in het bevorderen van AI-geletterdheid. Een wettelijke verplichting hiertoe moet echter wel duidelijk zijn en zekerheid geven aan organisaties wat van ze wordt verwacht.

5

De leden van de D66-fractie merken op dat vereenvoudiging en centralisatie van digitale regels niet alleen gevolgen hebben voor technologiebedrijven en toezichthouders, maar ook voor sectoren die een cruciale publieke functie vervullen. Deze leden vragen daarom aandacht voor de mogelijke gevolgen van de voorgestelde gecentraliseerde consentinstellingen voor het Nederlandse en Europese medialandschap. Zij onderschrijven het belang van het verminderen van consent fatigue voor burgers, maar vragen hoe het kabinet de impact van deze voorstellen weegt voor de financiering en onafhankelijkheid van journalistiek, in een markt waarin advertentie-inkomsten onder druk staan en steeds verder verschuiven richting grote internationale platforms. Hoe beoordeelt het kabinet de gevolgen van gecentraliseerde consentinstellingen voor de positie van nieuwsuitgevers op de online advertentiemarkt, en ziet het kabinet risico’s dat deze voorstellen de marktmacht van grote technologie- en advertentieplatforms verder vergroten?

Antwoord

Het kabinet onderschrijft het belang van onafhankelijke journalistiek en is zich bewust van het belang van advertentie-inkomsten voor de financiering en onafhankelijkheid van de journalistiek. Aanbieders van mediadiensten zijn uitgezonderd van het voorgestelde artikel over gecentraliseerde consentinstellingen. Deze uitzondering is opgenomen vanwege het belang van online-inkomstenstromen voor onafhankelijke journalistiek als onmisbare pijler van een democratische samenleving en zodat mediadiensten rechtstreeks met gebruikers kunnen communiceren om hen te informeren en toestemmingskeuzes te laten maken.⁴ Het kabinet is deze uitzondering nader aan het bestuderen. De EDPB en EDPS hebben in hun advies van 10 februari jl. aanbevolen om deze uitzondering te heroverwegen, omdat deze uitzondering niet zou bijdragen aan het tegengaan van consent fatigue, en omdat aanbieders van mediadiensten bij de verwerking van persoonsgegevens in het kader van cookies vaak samenwerken met derde partijen.

6

Daarnaast vragen de leden van de D66-fractie hoe het kabinet aankijkt tegen de governance rond gecentraliseerde consentmechanismen. Bestaat het risico dat grote platforms in de praktijk een bepalende rol krijgen bij de interpretatie of toepassing van Europese definities, zoals die van media service providers, en hoe wordt geborgd dat dit niet leidt tot ongewenste machtsconcentratie of afhankelijkheden voor onafhankelijke nieuwsmedia? Tot slot vragen deze leden hoe het kabinet waarborgt dat maatregelen die bedoeld zijn om gebruiksgemak voor burgers te vergroten, niet onbedoeld afbreuk doen aan pluriforme journalistiek in Nederland en Europa.

Antwoord

In het voorstel is een uitzondering opgenomen voor aanbieders van mediadiensten, waardoor het artikel over gecentraliseerde consentmechanismen op hen geen betrekking heeft. Het kabinet onderzoekt deze uitzondering nog. Hierbij onderzoekt het kabinet ook of er een risico is dat grote platforms in de mogelijk een bepalende rol krijgen bij de interpretatie of toepassing van de definitie van het begrip media service providers, of dat dit risico voldoende is ingeperkt doordat het voorstel aansluit bij de bestaande definitie hiervan in Verordening (EU) 2024/1083 (Europese verordening mediavrijheid).

7

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van het fiche over de Omnibus Digitaal en de Omnibus AI. Deze leden delen de zorgen van het kabinet over de mogelijke verzwakking van mensenrechten als gevolg van deze omnibusvoorstellen. Zij hebben vragen en opmerkingen over deze voorstellen.

Ten eerste uiten de leden van de GroenLinks-PvdA-fractie hun grote zorgen over de voorgestelde aanpassingen in de Omnibus AI. Volgens deze leden wordt hiermee baanbrekende, hard bevochten wetgeving die mensen beschermt tegen de macht van techgiganten en ongerichte AI-ontwikkelingen tenietgedaan.

De leden van de GroenLinks-PvdA-fractie keren zich tegen het uitstellen van de verplichtingen met betrekking tot hoogrisico-AI-systemen. Zo worden verplichtingen, bij uitblijven van een besluit van de EC, met respectievelijk 16 maanden en 12 maanden vertraagd. Deze leden vragen aan de minister nader in te gaan op de gevolgen van deze vertraging, en of dit volgens hem niet het risico vergroot dat organisaties langer met risicovolle en invloedrijke AI-systemen werken.

Antwoord

Met name kleinere organisaties hebben ondersteuning nodig om te kunnen voldoen aan de verplichtingen voor hoog-risico AI-systemen, bijvoorbeeld door middel van standaarden en richtsnoeren. Zoals aangegeven in het non-paper over regeldruk en digitale wetgeving, heeft het kabinet de voorkeur dat er spoedig ondersteuningsmiddelen worden ontwikkeld om te verduidelijken wat nodig is om aan de verplichtingen uit de AI-verordening dan dat inwerkingtreding wordt uitgesteld. De ontwikkeling van deze ondersteuningsmiddelen duurt echter langer dan voorzien. Dat is een belangrijke reden dat de EC de inwerkingtreding van de verplichtingen heeft uitgesteld.

Het kabinet ziet liever korter uitstel voor hoog-risico AI-systemen in bijlage III. Er lijkt in de Raad onvoldoende steun om het uitstel van de inwerkingtreding van deze bepalingen te verkorten. Desalniettemin erkent het kabinet dat inwerkingtreding van de bepalingen met betrekking tot hoog-risico AI niet per se effectief de risico’s van AI-systemen inperkt als voor organisaties onduidelijk is hoe ze aan de verplichtingen moeten voldoen. Het is daarom essentieel dat de benodigde standaarden en richtsnoeren snel worden ontwikkeld.

8

Zij keren zich tegen het schrappen van verplichtingen voor aanbieders en gebruiksverantwoordelijken van AI-systemen. De leden van de GroenLinks-PvdA-fractie vonden het al onnavolgbaar dat aanbieders zelf moesten aantonen dat hun AI-systemen geen groot risico meebrengen. Met het verdwijnen van de registratieplicht valt echter wel een waarborg weg om hoogrisico-AI-systemen vroegtijdig te signaleren. Hoe kijkt de minister naar de verdeling van de bewijslast? Tevens hebben deze leden zorgen over het schrappen van de inspanningsverplichting om AI-geletterdheid binnen organisaties te borgen. Zij pleiten voor een gezamenlijke verantwoordelijkheid van zowel bedrijven als overheden om AI-geletterdheid te bevorderen.

Antwoord

Zoals aangegeven in de beantwoording van vraag 3 heeft het kabinet bezwaren tegen het schrappen van de registratieplicht voor hoog risico AI-systemen die alleen voor beperkte of procedurele taken worden gebruikt. Dit verlaagt de transparantie over het gebruik van AI-systemen in hoog risico context en bemoeilijkt het toezicht op deze systemen. Deze maatregel levert bovendien slechts een zeer beperkte verlichting van regeldruk op. Het krachtenveld in de Raad lijkt op dit moment, in lijn met de inzet van het kabinet, voor terugdraaien van het schrappen van de registratieplicht te zijn.

Met betrekking tot de verplichting om AI-geletterdheid te borgen verwijs ik u naar de beantwoording van vraag 4. Het kabinet ziet inderdaad dat zowel overheden als bedrijven een verantwoordelijkheid hebben in het bevorderen van AI-geletterdheid.

9

De leden van de GroenLinks-PvdA-fractie hebben grote bezwaren tegen de Omnibus Digitaal. Het grondrecht op privacy is een groot goed dat burgers beschermt tegen inmenging van overheden en bedrijven. Het verzwakken hiervan zien deze leden dan ook als een aanval op essentiële Europese waarden, en een opmaat naar een minder veilige en vrije samenleving.

Deze leden keren zich tegen de versoepeling van regels rondom bijzondere persoonsgegevens. Het toestaan van verwerking van deze gegevens voor verificatiedoeleinden en het trainen van AI-modellen gaat wat hen betreft veel te ver.

Zij zijn tevens bezorgd over het omkeren van de regels voor het gebruiken van geautomatiseerde besluitvorming. Momenteel geldt een “nee, tenzij”-regel voor het gebruiken van zulke systemen. In het voorstel wordt dit omgekeerd tot een “ja, tenzij”-regel. De leden van de GroenLinks-PvdA-fractie vragen de minister om uit te leggen wat dit in de praktijk betekent voor de huidige inzet van geautomatiseerde besluitvorming binnen overheidsorganisaties. Kan hij aan de hand van voorbeelden uitleggen hoe deze aanpassing het gebruik van geautomatiseerde besluitvorming zou veranderen?

Antwoord

De voorgestelde wijziging van artikel 22 AVG, over verwerking van persoonsgegevens voor geautomatiseerde individuele besluitvorming, wijzigt de formulering van dit artikel zo dat het recht van de betrokkene verandert in een verplichting voor de verwerkingsverantwoordelijke. Deze gewijzigde formulering zou geen verandering van de rechten van betrokkenen mogen inhouden. Nederland heeft daarom voorgesteld om in de bijbehorende overweging 38 te expliciteren dat de voorgestelde wijzigingen de rechten van betrokkenen niet veranderen. De EDPB en EDPS hebben in hun advies van 10 februari 2026 een alternatieve formulering voorgesteld,⁵ die blijft uitgaan van een verbod met uitzonderingen (nee-tenzij regel), om te voorkomen dat de mogelijkheden voor geautomatiseerde individuele besluitvorming te breed worden geïnterpreteerd. Op die manier zou duidelijk zijn dat er geen sprake is van een materiële verandering, wat zou aansluiten bij het oogmerk van het Nederlandse voorstel.

De voorgestelde wijziging van artikel 22 AVG heeft daarnaast betrekking op de beoordeling of een besluit noodzakelijk is voor het sluiten of uitvoeren van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke. Het voorstel verduidelijkt dat niet mag worden vereist dat het besluit uitsluitend door middel van geautomatiseerde verwerking kan worden genomen. In overweging 38 wordt aangegeven ‘dat het feit dat het besluit ook door een mens kan worden genomen, de verwerkingsverantwoordelijke er niet van weerhoudt het besluit te nemen door uitsluitend geautomatiseerde verwerking’. In 1.2.2.7 van het SWD geeft de EC aan dat de huidige formulering ruimte laat voor een (ongewenst geachte) restrictieve interpretatie die het gebruik van geautomatiseerde tools belemmert, bijvoorbeeld op het gebied van cyberbeveiliging en fraudepreventie, of in de precontractuele fase.

De EDPB en EDPS hebben in hun advies van 10 februari jl. geadviseerd om het voorgestelde artikel 22, eerste lid, onder a, over te hevelen naar overweging 38, en anders te verwoorden, om te verduidelijken dat de algemene eisen van noodzakelijkheid en dataminimalisatie uit artikel 5 en 6(1)(b) AVG onverkort gelden. Ook adviseren zij om in overweging 38 te verduidelijken dat geautomatiseerde individuele besluitvorming alleen noodzakelijk is als de verwerkingsverantwoordelijke niet beschikt over andere even effectieve en minder ingrijpende middelen (al dan niet geautomatiseerd). Het kabinet bestudeert dit advies momenteel nader, maar ook het kabinet is ervan uitgegaan dat een dergelijke beoordeling ook in de toekomst vereist blijft, omdat die rechtstreeks voortvloeit uit de algemene vereisten van noodzakelijkheid, subsidiariteit en proportionaliteit die bij artikel 5, 6 en 22 AVG van toepassing zijn.

10

Deze leden vinden het onnavolgbaar dat de plicht om datalekken te melden wordt beperkt tot “gevallen waarin het lek daadwerkelijk nadelige gevolgen voor personen kan hebben.” Hiermee geeft de Commissie vrij spel om datalekken onvermeld te laten. In het geval van een datalek zijn de gevolgen in de meeste gevallen niet snel te overzien. Daarom is uiterste voorzichtigheid geoorloofd en zou er juist zo snel mogelijk melding gemaakt moeten worden volgens deze leden.

Zij vinden het zeer opmerkelijk dat de EC wil verplichten dat de EDPB een lijst bijhoudt van uitzonderingen voor het opmaken van een data protection impact assessment (DPIA). Wat is het doel van deze lijst met uitzonderingen? Welke uitzonderingen zullen op deze lijst worden opgenomen?

Antwoord

Het kabinet herkent de genoemde zorgen over het voorstel om de meldplicht van datalekken aan de toezichthouder te beperken tot gevallen waarin het datalek een "hoog risico" oplevert voor rechten en vrijheden van betrokkenen. De Autoriteit Persoonsgegevens (AP) heeft in haar position paper geconstateerd dat verwerkingsverantwoordelijken de risico's van datalekken voor betrokkenen vaak onderschatten.⁶ De toezichthouder kan verwerkingsverantwoordelijken verplichten om een ​​datalek ook aan betrokkenen te melden (artikel 34, vierde lid, AVG). Door de drempel voor melding aan de toezichthouder, zoals voorgesteld, gelijk te trekken met de drempel voor melding aan betrokkenen, verliezen toezichthouders deze "corrigerende" functie. Dit kan ertoe bijdragen dat personen die door een datalek worden geraakt, daarover niet worden geïnformeerd. Tegelijkertijd steunt het kabinet het doel om het onevenredig hoge aantal meldingen van datalekken aan toezichthouders te verminderen. Daarom stelt het kabinet voor om een ​​middenweg te vinden tussen de drempel in het geldende artikel 33 AVG ("een risico") en de voorgestelde drempel in het voorstel van de Commissie ("hoog risico"). Te denken valt aan "impactvol risico", of eventueel "relevant risico" of "verhoogd risico".

De zogenaamde ‘witte lijst', is een lijst met verwerkingen die geen "hoog risico" opleveren voor fundamentele rechten en vrijheden en waarvoor dus géén DPIA hoeft te worden uitgevoerd. In de praktijk bestaat regelmatig onzekerheid over welke verwerkingen een hoog risico inhouden, waardoor verwerkingsverantwoordelijken zonder dat er welbeschouwd daartoe een plicht bestaat, de last ervaren om een DPIA uit te voeren. Een "witte lijst" is dus nadrukkelijk geen lijst met "uitzonderingsgevallen" zoals in de vraag wordt aangenomen. Het kabinet verwelkomt een verplichting voor toezichthouders om een "witte lijst" op te stellen met verwerkingen die geen "hoog risico" opleveren, en verwacht dat deze verplichting kan leiden tot meer rechtszekerheid voor verwerkingsverantwoordelijken.

Volgens het voorstel wordt de witte lijst vastgesteld door de EC, op voorstel van de EDPB. De EDPB en EDPS adviseren om dit uitsluitend aan de EDPB te laten (zie §90 in samenhang met §82 en 83 van hun advies van 10 februari jl.), onder meer vanwege hun onafhankelijkheid en vanwege de subsidiariteit, omdat de EDPB bestaat uit de nationale gegevensbeschermingstoezichthouders. Dit advies sluit aan bij het kabinetsstandpunt.

11

De leden van de GroenLinks-PvdA-fractie lezen dat er geen impact assessment is uitgevoerd voor de omnibusvoorstellen. Dit stort alle aannames over het verminderen van kosten en regeldruk en het aanjagen van innovatie in grote onzekerheid. Deze leden verzoeken de minister om het uitvoeren van een degelijke impact assessment als een essentiële randvoorwaarde te beschouwen, voordat er überhaupt verder onderhandeld kan worden over de omnibusvoorstellen. Zonder gemeenschappelijk begrip over wat de aanpassingen in de praktijk inhouden, is er geen degelijke onderhandeling mogelijk. Deelt de minister deze visie en is hij bereid om een voorbehoud te maken op onderhandelingen zolang er geen impact assessment is uitgevoerd?

Antwoord

Voor de omnibussen presenteert de EC in het algemeen geen impact assessments. De EC geeft als reden dat het gaat om urgente aanpassingen van politiek belang, die te veel vertraging zouden oplopen in het geval er een volledig impact assessment moet worden uitgevoerd. De impact van de voorstellen wordt wel geanalyseerd. De analyse en onderbouwing van de voorstellen worden middels een SWD⁷ gedeeld.

Het SWD biedt volgens de EC voldoende basis om te onderhandelen over de voorstellen die zich in lijn met de kabinetsinzet focussen op versimpelen, verduidelijken en stroomlijnen. In het algemeen past de omnibusaanpak van de EC binnen de bredere doelstelling van het kabinet om de regeldruk terug te dringen. Deze omnibussen bevatten echter voorstellen die verdergaan dan het versimpelen, verduidelijken en stroomlijnen van wetgeving. Voor sommige van deze voorstellen maakt het ontbreken van een impact assessment het moeilijk voor het kabinet om de effecten te beoordelen.

Het kabinet heeft de EC verzocht een uitgebreidere analyse van de impact van deze voorstellen te presenteren. Het kabinet heeft daarnaast aangegeven dat het advies van de EDPS en het EDPB, dat 11 februari is vastgesteld, moet worden betrokken bij de bespreking van dit voorstel. Daarmee zet het kabinet erop in de voorstellen die verdergaan dan versimpeling te behandelen op een wijze die recht doet aan de potentiële impact en de zorgpunten. Een formeel impact assessment is niet de enige manier om deze inzet te bewerkstelligen.

12

Zij verwelkomen de kritische houding van het kabinet aangaande de omnibusvoorstellen. De leden van de GroenLinks-PvdA-fractie missen echter een concrete invulling van wat het kabinet met deze kritiek gaat doen. Volgens deze leden ligt het in lijn met de Nederlandse inzet om zich af te zetten tegen deze omnibusvoorstellen, gezien de waslijst met zorgen en kritiek die de minister in het fiche uit. Kan de minister uitleggen hoe hij zich opstelt in de gesprekken rondom de omnibusvoorstellen? Welke rode lijnen hanteert de minister is en hij bereid om, als er niet tegemoet wordt gekomen aan de Nederlandse eisen, niet in te stemmen met de omnibusvoorstellen? Hoe geeft de minister invulling aan de motie-Kathmann/Dassen (Kamerstuk 21501-33, nr. 1173)?

Antwoord

Het kabinet kan veel aanpassingen binnen de omnibussen steunen, omdat deze in lijn met de Nederlandse inzet digitale wetgeving versimpelen, verduidelijken en stroomlijnen, waarbij de doelen van de wetgeving overeind blijven. Een deel van de voorstellen in de Omnibus Digitaal en Omnibus AI gaat echter verder dan het versimpelen, verduidelijken en stroomlijnen van wetgeving. Zoals is uiteengezet in het BNC-fiche, heeft het kabinet in het bijzonder bij een aantal fundamentele wijzigingen aan de AVG serieuze zorgen. Het gaat in het bijzonder om wijzigingen die het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk. Vanzelfsprekend dient de bescherming van grondrechten goed te blijven gewaarborgd.

Zoals uiteengezet in het antwoord op vraag 3, zet Nederland er allereerst op in dat fundamentele wijzigingen bij de onderhandelingen worden behandeld op een wijze die recht doet aan de potentiële impact ervan. De risico's en impact van de voorstellen dienen helder te zijn. Nederland heeft daarom de EC verzocht een uitgebreidere analyse te presenteren van de impact van de voorstellen die verdergaan dan versimpeling. Nederland heeft daarnaast aangegeven dat het advies van de EDPS in samenspraak met de EDPB moet worden betrokken bij de bespreking van deze voorstellen. Het kabinet zal vervolgens trachten om de voorstellen die zich daarvoor lenen, waar dit mogelijk is, in lijn met de kabinetsinzet en inhoudelijke zorgpunten te verbeteren. Het kabinet heeft haar zorgen op deze punten geuit in de onderhandelingen en heeft reeds enkele amendementen ingediend die deze zorgen adresseren. Het kabinet zal op basis van het uiteindelijk onderhandelingsresultaat beoordelen of het resultaat voldoende in lijn is met de Nederlandse inzet.

Het kabinet geeft invulling aan de motie Kathman/Dassen door erop aan te dringen dat de Commissie voor wijzigingen met impact op gegevensbescherming en grondrechten een uitgebreidere analyse van de impact presenteert. Daarnaast zet het kabinet erop in dat het advies van EDPS in samenspraak met de EDPB wordt betrokken bij de bespreking van deze voorstellen en brengt het zelf de gevolgen ervan verder in kaart. Het kabinet heeft daarnaast amendementen ingediend om de voorstellen aan te passen op de onderdelen die afbreuk doen aan de bescherming van grondrechten.

13

Zij lezen dat de minister drie uitgangspunten heeft geformuleerd: het niet afzwakken van de doelen van wetgeving, het reducering van nalevingskosten door tools en ondersteuning te ontwikkelen, en een uniforme Europese uitleg van de wetgeving. De leden van de GroenLinks-PvdA-fractie vragen aan de minister welke consequenties hij er aan verbindt als aan deze uitgangspunten niet wordt voldaan. Hoe is de minister van plan om te toetsen of de uitgangspunten naar wens zijn ingewilligd? Welke aanvullende analyses zijn er nodig om dit vast te stellen, en door wie dienen deze te worden uitgevoerd?

Antwoord

Het kabinet zet er in eerste instantie op in om de voorstellen op deze punten in lijn met de kabinetsinzet te verbeteren. Het kabinet heeft haar zorgen op deze punten geuit en heeft amendementen ingediend die deze zorgen adresseren. Het kabinet zal op basis van het uiteindelijke onderhandelingsresultaat beoordelen of het resultaat voldoende in lijn is met de Nederlandse inzet.

Voor wat betreft analyse heeft het kabinet de Commissie verzocht uitgebreidere analyse van de impact van de voorstellen te presenteren, hecht het belang aan de adviezen van de EDPS in samenspraak met de EDPB en brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart.

14

Deze leden zetten vraagtekens bij de aanname dat het ondernemingsklimaat verbetert door de omnibusvoorstellen. Ten eerste stellen zij dat er geen sprake is van één ondernemingsklimaat. Voorstellen die gunstig zijn voor Amerikaanse techgiganten die hun grip op de Europese markt willen vergroten, zijn niet per sé positief voor het Europese mkb. Integendeel: dit ondermijnt de potentie tot een eerlijke concurrerende digitale markt. Kan de minister duidelijker uitleggen welke gevolgen de omnibusvoorstellen hebben voor verschillende soorten bedrijven? Heeft hij een analyse gemaakt waaruit blijkt of de voordelen voor het Europese bedrijfsleven proportioneel zijn aan de voordelen die deze wijzigingen hebben voor niet-Europese techgiganten?

Antwoord

Het kabinet erkent dat kleinere bedrijven andere uitdagingen ervaren dan grote bedrijven met betrekking tot regeldruk. Grotere bedrijven zijn over het algemeen beter in staat dan kleine bedrijven om complexe regelgeving zelfstandig te interpreteren en toe te passen. Kleinere bedrijven hebben baat bij heldere regels en ondersteuning die het makkelijker maakt regels na te leven.

Zowel binnen de nationale als de Europese agenda voor betere regelgeving⁸ is daarom bijzondere aandacht voor het mkb. De omnibussen zijn onderdeel van de agenda voor betere regelgeving en bevatten daarom verschillende aanpassingen die er specifiek op zijn gericht naleving van de regels door mkb of small midcap bedrijven makkelijker te maken. Daarnaast zorgt met name de Omnibus AI ervoor dat er meer richtsnoeren worden ontwikkeld, die het makkelijker maken aan de regels te voldoen.

Het kabinet geeft in het BNC-fiche aan dat een aantal voorstellen uit de omnibussen mogelijk niet effectief bijdragen aan het verlagen van regeldruk. Bij verschillende van deze voorstellen - zoals het Europees meldpunt, bepaalde wijzigingen aan de AVG en de uitzonderingen in de Dataverordening op de bepalingen over overstappen tussen clouddiensten - verwacht het kabinet dat deze met name voor het mkb geen lastenverlichting zullen opleveren. Deze voorstellen lijken de complexiteit van (het naleven van) wetgeving te verhogen of creëren complexe uitzonderingen waar kleinere bedrijven waarschijnlijk minder snel gebruik van zullen maken.

15

De leden van de GroenLinks-PvdA-fractie wijzen op de actieve rol die Nederland heeft gespeeld in de totstandkoming van digitale Europese wetgeving. Deze leden hebben, samen met een meerderheid van de Tweede Kamer, de minister hierin altijd gesteund en gemaand tot meer ambitie. Met welk doel heeft Nederland bijgedragen aan de ontwikkeling van bijvoorbeeld de AI-verordening en de Dataverordening? Deelt de minister de opvatting van deze leden dat het afzwakken van deze wetgeving in deze omnibusvoorstellen in dat licht niet geloofwaardig en niet nodig is? Wat is er in de tussentijd feitelijk veranderd waardoor deze wetgeving weer aangepast moet worden, naast de aanname dat deregulering zal leiden tot een betere concurrentiepositie?

Antwoord

Het kabinet heeft inderdaad een actieve rol gespeeld bij de totstandkoming van de AI-verordening en de Dataverordening. Bij de AI-verordening vindt het kabinet het belangrijk dat de verordening een Europese gemeenschappelijke markt creëert voor de ontwikkeling en het gebruik van AI-systemen, waarbij AI-systemen in de Europese markt veilig zijn en fundamentele rechten respecteren. Met betrekking tot de Dataverordening heeft het kabinet erop ingezet dat de verordening het gebruik van data voor innovatie en het adresseren van maatschappelijke uitdagingen bevordert en concurrentie in de cloudmarkt versterkt. Tegelijk was de inzet te borgen dat consumenten en bedrijven meer controle krijgen over data uit hun apparaten en clouddiensten en dat data wordt gebruikt in lijn met Europese waarden en regels.

De voorgestelde wijzigingen aan de Dataverordening passen grotendeels binnen de Nederlandse inzet en zwakken de Dataverordening niet af. Alleen bij de voorgestelde uitzonderingen voor sommige clouddiensten om onder bestaande contracten niet aan de verplichtingen over overstappen te hoeven voldoen, ziet het kabinet dat deze onduidelijkheid creëren en de werking van dit onderdeel van de verordening kunnen vertragen.

Voor wat betreft de AI-verordening is een belangrijke factor dat de ontwikkeling van ondersteuningsmiddelen om aan de verordening te voldoen, zoals standaarden en richtsnoeren, langer duurt dan voorzien. Met name kleinere organisaties hebben ondersteuning nodig om te kunnen voldoen aan de verplichtingen voor hoog-risico AI-systemen.

Los van het algemene belang om onnodige regeldruk te voorkomen en verlagen, is gebleken dat specifiek voor digitale wetgeving het totaal aan nieuwe wetgeving dat ongeveer tegelijk in werking treedt, onduidelijkheid oplevert voor met name kleinere bedrijven. Daarom steunt het kabinet aanpassingen aan digitale wetgeving die die het makkelijker maken aan deze wetgeving te voldoen zonder de doelen ervan af te zwakken.

16

Zij wijzen op een werkdocument van de EC, waaruit blijkt dat 96% van de ondervraagde bedrijven meer voordelen dan nadelen ervaart in de geldende privacyregels. Tegelijkertijd wordt gesteld dat deze voordelen moeilijk te kwantificeren zijn bij marktpartijen, hoewel er wordt geschat dat ergens tussen de 585 miljoen tot 1,4 miljard euro wordt bespaard door AVG-compliance omdat dit dwingt tot investeringen in cyberveiligheid. Hoe kijkt de minister naar deze analyse, en deelt hij de mening dat de voordelen van de Europese privacywetgeving reëel zijn? Hoe onderbouwt hij in dit licht dat afzwakking van deze wetgeving noodzakelijk is?

Antwoord

Het kabinet deelt de mening dat de voordelen van de AVG en andere privacy- en gegevensbeschermingswetgeving reëel zijn. Zoals ook is bevestigd in de Tweede Evaluatie van de AVG door de EC, kunnen betrokkenen dankzij de AVG rekenen op een goede bescherming. Ook zijn verwerkingsverantwoordelijken en verwerkers onderworpen aan in EU-verband geharmoniseerde verplichtingen, die tevens betrekking hebben op de beveiliging van persoonsgegevens.⁹ Dit neemt niet weg dat de uitleg van de AVG in de praktijk vragen oproept, vooral voor verwerkingsverantwoordelijken die gegevensverwerkingen niet als hoofdactiviteit hebben - zoals het mkb, onderzoekers en onderzoeksorganisaties. Niet voor niets heeft de EC in 2024 gegevensbeschermingsautoriteiten opgeroepen om duidelijkere en beter uitvoerbare richtsnoeren te verstrekken en te werken aan een consistente interpretatie en handhaving van de AVG in de hele EU. In dit licht steunt het kabinet een gerichte focus op versimpeling, verduidelijking en stroomlijning van de AVG - die daadwerkelijk de ervaren regeldruk reduceert, en waarbij de doelen van de wetgeving overeind blijven.

17

De leden van de GroenLinks-PvdA-fractie hebben ernstige zorgen over de wijziging van de definitie van het begrip persoonsgegevens. Het aanpassen van de werkdefinitie van zo’n kernbegrip in ons privacyrecht heeft verstrekkende en onduidelijke gevolgen. Het kabinet geeft toe dat het omnibusvoorstel verder gaat dan louter “de codificatie van het SRB-arrest.” Deze leden vragen de minister om “de eerste analyse van het kabinet” waaruit dit blijkt aan de Kamer te doen toekomen.

Antwoord

Het kabinet beaamt dat deze nieuw voorgestelde definitie vragen oproept en dat de gevolgen hiervan niet direct duidelijk zijn. Volgens de EC zou de wijziging een codificatie van het SRB-arrest betreffen, maar op basis van de eerste analyse van het kabinet gaat het voorstel verder dan een codificatie.¹⁰ Het voorstel lijkt namelijk een wijziging aan te brengen ten opzichte van een overweging van het Hof van Justitie van de Europese Unie (HvJEU) over de vraag of gepseudonimiseerde gegevens ook in meerdere schakels van een keten als persoonsgegevens moeten worden beschouwd.¹¹ Sommige elementen uit de jurisprudentie lijken in de voorgestelde definitie te ontbreken, zoals het feit dat de specifieke entiteit die de gegevens verwerkt, via derde partijen toegang kan verkrijgen tot identificatiemiddelen, ook een relevant criterium is voor de vraag of sprake is van persoonsgegevens (voor die entiteit).¹² In Nederlandse rechtspraak wordt dit criterium zo uitgelegd dat bepalend is welke middelen de ontvanger feitelijk ter beschikking heeft om gegevens te herleiden tot individuen.¹³

Verder noemt de voorgestelde definitie niet het criterium of de ontvanger in staat is de pseudonimisering ongedaan te maken.¹⁴ Het kabinet heeft de EC daarom gevraagd de door haar voorgestelde wijziging te verduidelijken, nader toe te lichten en de effecten te beoordelen.

De EDPB en EDPS dringen er in hun advies van 10 februari jl. ook met klem op aan de voorgestelde wijzigingen in de definitie van persoonsgegevens niet te aanvaarden, aangezien zij veel verder gaan dan een gerichte of technische wijziging van de AVG. Bovendien weerspiegelen de voorstellen volgens de EDPB en EDPS niet nauwkeurig de jurisprudentie, gaan zij duidelijk verder en zouden zij leiden tot een aanzienlijke beperking van het begrip persoonsgegeven, en aldus van de reikwijdte van de AVG, terwijl de rechtsonzekerheid voor organisaties toeneemt. Meerdere lidstaten in de Raad van de Europese Unie (Raad) lijken het terugdraaien van de wijziging van de definitie van persoonsgegeven te steunen.

18

Zij hebben bezwaar tegen het aanwijzen van AI-training als een “gerechtvaardigd belang” om (bijzondere) persoonsgegevens te mogen verwerken. Hiermee wordt het essentiële belang van bescherming van personen en hun gegevens ondermijnd voor de commerciële belangen van vooral de techgiganten die de AI-markt reeds domineren. Het speelt de schaalvoordelen van techgiganten in de hand, omdat zij hun online platforms en de grote hoeveelheid aan persoonsgegevens die daar te vinden zijn, in kunnen zetten om hun macht te vergroten. Deelt de minister de zorg dat dit de positie van burgers ten opzichte van machtige techbedrijven verder verzwakt? Is hij bereid om onomwonden bezwaar te maken tegen deze wijziging van de AVG, en niet in te stemmen met een voorstel dat deze definitie wijzigt?

Antwoord

Zoals ook in het BNC-fiche is benadrukt, heeft het kabinet bij een aantal fundamentele wijzigingen aan de AVG serieuze zorgen, omdat deze wijzigingen het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk.

Op dit moment kan het verwerken van persoonsgegevens voor AI-doeleinden toegestaan zijn, zoals ook volgt uit EDPB Advies 28/2024 over bepaalde aspecten van gegevensbescherming in verband met de verwerking van persoonsgegevens in het kader van AI-modellen. De verwerkingsverantwoordelijke moet hierbij wel aan verschillende voorwaarden voldoen. De EDPB en EDPS hebben dit in hun advies van 10 februari 2026 bevestigd, en aangegeven dat het daarom niet nodig is om hierover een specifieke bepaling op te nemen in de AVG.

In het BNC-fiche is benoemd dat het voorstel lijkt vast te leggen dat bij de training en exploitatie van een AI-model de grondslag ‘gerechtvaardigd belang’ per definitie is gegeven zonder dat een noodzakelijkheidstoets en de bijbehorende belangenafweging moet plaatsvinden. Het voorstel voorziet ook in de verwerking van bijzondere persoonsgegevens voor dit doel. Juist vanwege de gevolgen die de verwerking van deze bijzondere categorieën van persoonsgegevens voor de betrokkenen kunnen hebben, genieten zij extra bescherming. Wanneer deze persoonsgegevens ook mogen worden verwerkt voor genoemd doel, is het extra belangrijk dat er goede randvoorwaarden zijn. Of deze mogelijkheden verder moeten worden verruimd, vergt nadere beoordeling. Verdere verruiming zou alleen aan de orde kunnen zijn als de fundamentele rechten voldoende gewaarborgd zijn.

19

De leden van de GroenLinks-PvdA-fractie hebben dezelfde zorgen over het uitbreiden van de wettelijke basis om bijzondere persoonsgegevens te gebruiken om de bias van AI-modellen te testen. De AI-verordening voorziet in een grondslag om dit te doen voor hoog-risico AI-systemen; de omnibus breidt dit uit naar álle AI-systemen. Deze leden vragen de minister om zijn zorgen over het mogelijke lekken en misbruik van deze gegevens verder toe te lichten. Hoe gaat de minister “bestuderen” of de risico’s proportioneel zijn aan het doel? Wanneer verwacht de minister hier uitsluitsel over te hebben?

Antwoord

De verwerking van bijzondere persoonsgegevens is in beginsel verboden en kan alleen onder specifieke voorwaarden worden toegestaan, omdat de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en fundamentele vrijheden (overweging 51 AVG). Het is in dat licht niet wenselijk om ambigue of ruime uitzonderingen te maken voor de verwerking van bijzondere persoonsgegevens. Een strikte limitering tot verwerking voor bias-detectie en -correctie is wenselijk.

Dit is ook benadrukt in de opinie van het EDPB en de EDPS. Zoals aangegeven in de beantwoording van vraag 2 vinden de EDPB en de EDPS dat een dergelijke gegevensverwerking alleen dient te zijn toegestaan in strikt afgebakende situaties, wanneer het risico op discriminatie ernstig is en er passende waarborgen gelden. EDPB en EDPS adviseren om de eis te behouden die nu al geldt op grond van artikel 10, tweede lid, onder f, en vijfde lid, aanhef, namelijk dat de gegevensverwerking strikt noodzakelijk is voor de beoordeling en correctie met het oog op mogelijke vooringenomenheid die waarschijnlijk gevolgen heeft voor de gezondheid en de veiligheid van personen, nadelige effecten heeft op de grondrechten, of leidt tot discriminatie die op grond van het Unierecht verboden is, vooral wanneer data-outputs invloed hebben op inputs voor toekomstige operaties.

Het kabinet zet erop in het voorstel op dit punt in lijn te brengen met de opinie van de EDPB en EDPS. Wanneer het kabinet uitsluitsel kan geven of de waarborgen in het voorstel voldoende proportioneel zijn hangt af van het verloop van de onderhandelingen. Er lijkt voldoende steun in de Raad om de voorwaarden waaronder bijzondere persoonsgegevens mogen worden verwerkt voor biasdetectie en -correctie aan te scherpen.

20

Zij hebben ernstige bezwaren bij de verschuiving van bevoegdheden van de onafhankelijke EDPB naar de EC. Dit betreft het kunnen stellen van regels waarin een datalek moet worden gemeld, wanneer DPIA’s verplicht zijn, en de criteria die gelden voor het pseudonimiseren van gegevens. Op al deze vlakken achten de leden van de GroenLinks-PvdA-fractie het zeer onwenselijk om dit een politieke bevoegdheid te maken. Hierin delen zij de zorgen van het kabinet. Op welke manier gaat de minister zich inzetten om deze specifieke zorgen weg te nemen in het traject richting de omnibus? Zijn dit rode lijnen voor de minister waar zijn steun voor de omnibussen afhankelijk van is?

Antwoord

Zoals ook in het BNC-fiche aangegeven ziet het kabinet in de verschuiving van bevoegdheden van de EDPB naar de EC het risico dat juridische besluitvorming politiek wordt. Dat past niet bij een verordening die in belangrijke mate strekt tot grondrechtenbescherming. Grondrechten mogen worden ingeperkt, maar alleen onder strikte voorwaarden en na zorgvuldige weging.

Het kabinet brengt de zorgen over de verschuiving van bevoegdheden naar de EC naar voren tijdens de onderhandelingen en pleit voor behoud van deze bevoegdheden voor de EDPB. Het kabinet voelt zich hierin onder meer gesterkt door het advies van de EDPB en EDPS van 10 februari jl., die hebben aanbevolen om de Commissie geen rol te geven bij de vaststelling van de lijsten over wanneer DPIA’s of meldingen van datalekken verplicht zijn, en ook niet bij criteria inzake pseudonimisering. Meerdere lidstaten lijken het behouden van deze bevoegdheden voor de EDPB te steunen.

21

Deze leden zijn enigszins positief over de aanpassingen van het cookiebeleid. Zij moedigen aan dat cookies zo makkelijk mogelijk af te wijzen zijn voor gebruikers. Kan de minister nader toelichten hoe dit er in de praktijk uit kan zien, en wat gebruikers uiteindelijk van deze wijziging gaan merken?

Antwoord

Zoals aangegeven in het BNC-fiche staat het kabinet ook positief tegenover voorstellen om geautomatiseerde toestemming te kunnen geven of weigeren voor cookies, zolang dit in lijn is met de eisen voor toestemming uit de AVG. In de praktijk zullen de voorgestelde wijzigingen onder andere inhouden dat voor web browsers centraal toestemming kan worden gegeven of toestemming kan worden geweigerd voor cookies. Websites moeten deze in de web browser gemaakte keuze respecteren.

Gebruikers zullen merken dat ze hierdoor met minder cookiebanners geconfronteerd zullen worden. Omdat voor ‘media service providers’ een uitzondering is gemaakt in het voorstel, zullen gebruikers op de websites van bijvoorbeeld dag- en nieuwsbladen nog wel cookiebanners te zien krijgen. Indien gebruikers via web browers centraal toestemming geven voor cookies, is wel van belang dat de toestemming voldoet aan de vereisten van artikel 7 AVG.

22

De leden van de GroenLinks-PvdA-fractie delen de bezwaren rondom het oprichten van een Europees meldpunt voor incidentmeldingen. Deze leden vragen de minister om duidelijk te maken hoe hij zich inspant om dit voorstel uit de omnibus te verwijderen in Europees verband. Bovendien onderstrepen zij de bezwaren van de minister aangaande het schrappen van de registratieplicht voor hoog-risico AI-systemen en het schrappen van de P2B-verordening (Platform-to-Business). Welke risico’s voor de rechtszekerheid en bescherming van kleinere ondernemers ziet de minister precies?

Antwoord

Het kabinet waardeert de inspanningen van de EC om met de omnibussen digitale wetgeving te vereenvoudigen en stroomlijnen. Tegelijkertijd heeft het kabinet zijn zorgen geuit over de oprichting van een Europees meldpunt, vooral wat betreft de mogelijke impact op nationale meldplatformen en de afhandeling van incidenten, waaronder die met betrekking tot nationale veiligheid. De uiteindelijke effectiviteit van het voorstel in het verlagen van regeldruk en de invloed op nationale bevoegdheden zal deels afhangen van de concrete invulling van het Europees meldpunt. Gezien de bredere context is het te verwachten dat er bij verschillende lidstaten zorgen bestaan over deze ontwikkeling. Het kabinet zal de voortgang van het voorstel blijven volgen en waar nodig verdere vragen stellen aan de EC tijdens de onderhandelingen van dit proces.

De P2B-verordening beschermt ondernemers wanneer zij zaken doen met platforms en draagt bij aan een eerlijke en voorspelbare bedrijfsomgeving. De P2B biedt daarvoor een reeks waarborgen, die vooral van belang zijn voor kleinere ondernemers die op online platforms goederen en diensten aanbieden. Juist de mate van concreetheid van de P2B is voor deze ondernemers van belang.

Door het schrappen van de P2B zouden bepaalde beschermingsmaatregelen voor zakelijke gebruikers op digitale platforms komen te vervallen. Zonder de waarborgen van de P2B kunnen platforms hun voorwaarden zonder of met slechts een minimale waarschuwing wijzigen, wat onevenredig grote gevolgen kan hebben voor kleine bedrijven die afhankelijk zijn van de toegang tot die platforms. Als gevolg lopen kleinere ondernemers het risico minder goed beschermd te zijn in hun commerciële relatie met dergelijke online platforms.

Ook kunnen kleinere ondernemers niet meer terecht bij de Autoriteit Consument en Markt (ACM) voor handhaving naar aanleiding van klachten over platforms die niet in Nederland gevestigd zijn. Dit doet volgens het kabinet af aan de rechtszekerheid van de gebruikers van die platforms. Het kabinet wil deze risico's mitigeren door in te zetten op behoud van de P2B-bepalingen die voor kleinere ondernemers het meest van belang zijn.

23

De leden van de GroenLinks-PvdA-fractie vinden het uiterst opmerkelijk dat de EC aannames maakt over de verwachte lastenverlichting, terwijl er geen impact assessment is verricht. Deze leden vragen de minister met klem om helderheid te geven over hoe deze schatting tot stand is gekomen en om hier zo veel mogelijk informatie met de Kamer over te delen.

Antwoord

Alhoewel een formeel impact assessment ontbreekt heeft de EC wel uitleg gegeven over de gemaakte keuzes en de voorziene impact in het SWD dat tegelijk met het voorstel is gepubliceerd¹⁵. Voor inzicht in de schattingen verwijs ik u naar dat document.

Het SWD biedt voldoende basis om te onderhandelen over de voorstellen die zich in lijn met de kabinetsinzet focussen op versimpelen, verduidelijken en stroomlijnen. Voor sommige voorstellen die verdergaan dan het versimpelen, verduidelijken en stroomlijnen van wetgeving is het SWD echter onvoldoende om de effecten van de voorstellen te beoordelen. Met betrekking tot de AVG geeft het SWD geen inschatting van de lastenverlichting als gevolg de wijzigingen. Daarnaast stelt de EC in het SWD dat de wijzigingen het niveau van gegevensbescherming niet verlagen, wat het kabinet betwijfelt.

Zoals aangegeven in de beantwoording op vraag 11 heeft het kabinet de EC verzocht een uitgebreidere analyse te presenteren van de impact van de voorstellen die verdergaan dan versimpeling. Het kabinet heeft daarnaast aangegeven dat het advies van de EDPS in samenspraak met het EDPB moet worden betrokken bij de bespreking van deze voorstellen. Ook brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart. Daarmee zet het kabinet erop in de voorstellen die verdergaan dan versimpeling te behandelen op een wijze die recht doet aan de potentiële impact en de zorgpunten. Een formeel impact assessment is niet de enige manier om deze inzet te bewerkstelligen.

24

Zij lezen dat voor de aanpassing van de AVG ook Nederlandse regelgeving aangepast moet worden. De leden van de GroenLinks-PvdA-fractie vragen de minister om aan te geven wanneer dit nader wordt onderzocht en wanneer dit duidelijk wordt.

Antwoord

In het BNC-fiche is ten aanzien van de wijzigingen van de AVG aangegeven dat deze voorstellen “mogelijk” leiden tot wijziging van Nederlandse regelgeving, en dat dit nader zal worden onderzocht. Omdat de voorstellen nu echter nog niet definitief zijn, is het moeilijk nu al uitsluitsel te geven over welke aanpassing uiteindelijk nodig zal zijn.

Niet uit te sluiten valt bijvoorbeeld dat een wetstechnische aanpassing nodig is van artikel 40 van de Uitvoeringswet AVG in verband met de voorgestelde formulering van artikel 22 AVG inzake geautomatiseerde individuele besluitvorming, tenzij de alternatieve formulering van de EDPB en EDPS wordt overgenomen (zie hierover het antwoord op vraag 9). Verder biedt het voorgestelde artikel 88c de mogelijkheid om in de nationale wetgeving te bepalen dat voor de verwerking van persoonsgegevens in AI-context uitdrukkelijk toestemming vereist is. Indien Nederland hiervan gebruik zou willen maken, vergt dit een wetswijziging. Er zijn vooralsnog geen indicaties voor overige (substantiële) punten waarbij de voorgestelde wijzigingen van de AVG een wetswijziging met zich zouden kunnen brengen. Verder lijkt de wijziging van de e-Privacyrichtlijn een kleine aanpassing van hoofdstuk 11 van de Telecommunicatiewet te vergen.

25

Deze leden vrezen vertraging van de nationale implementatie van de AI-verordening. Hoe langer onduidelijk blijft wat de omnibus voor wijzigingen gaat doorvoeren, hoe groter het risico dat er de nationale implementatie nóg verder wordt vertraagd. Op welke termijn verwacht de minister de nationale implementatie van de AI-verordening naar de Kamer te kunnen sturen?

Antwoord

De AI-verordening wordt gefaseerd van toepassing. Het eerstvolgende moment waarop een aantal bepalingen van toepassing wordt, zijn 2 augustus 2026 (hoog-risico toepassingsgebieden van Bijlage III, transparantie-eisen en de regulatory sandboxes) en 2 augustus 2027 (hoog-risico producten van Bijlage I). De voorstellen van de EC in de Digitale Omnibus AI om deze tijdlijn te wijzigen, hebben directe gevolgen voor de organisaties die aan de eisen uit de AI-verordening moeten voldoen.

Een aantal bepalingen uit de AI-verordening behoeft nog nationale uitvoering. Zo verplicht de AI-verordening lidstaten om verschillende bevoegde instanties aan te wijzen, zoals de toezichthouders. Over de inrichting van het nationale toezicht op de handhaving van de AI-verordening wordt uw Kamer tegelijkertijd met de start van de openbare consultatie voor burgers en bedrijven geïnformeerd.

26

Tot slot verwijzen zij naar de analyse van Corporate Europe Observatory, die een vergelijking heeft gemaakt met de voorstellen uit de omnibusvoorstellen en de positie van de techlobby. De leden van de GroenLinks-PvdA-fractie hebben grote zorgen over de mate waarmee de techlobby de omnibusvoorstellen lijken te hebben beïnvloed. Dit onderstreept de zorgen van deze leden dat de omnibussen met name ten goede komen aan de belangen van het grootkapitaal, en niet de mkb’ers waar de EC voor op zegt te komen. Hoe kijkt de minister naar deze analyse? Lidstaten moeten zich volgens deze leden compleet bewust zijn van deze lobby en tegenwicht bieden om burgers te beschermen. Zij vragen de minister om per artikel zijn zienswijze te delen en te reflecteren op waarom de techlobby hiervoor zou pleiten. Kan de minister verdere opheldering vragen van de EC over de contacten die zij hebben gehad met lobbyisten, en in welke mate hun wensen zijn ingewilligd? Welke contacten heeft de minister gehad met lobbyisten om zijn standpunt te bepalen?

Antwoord

Bij uw vraag ga ik ervan uit dat u specifiek verwijst naar het artikel ‘Article by article, how Big Tech shaped the EU’s roll-back of digital rights’¹⁶. De voorgestelde wijzigingen die in het artikel worden benoemd zijn over het algemeen wijzigingen waar het kabinet kritisch op is of zorgen over heeft omdat ze doelen van de wetgeving afzwakken en in veel gevallen niet lijken bij te dragen aan het verlagen van de regeldruk. Dit is in het BNC-fiche over de voorstellen toegelicht.

In het SWD dat tegelijk met de omnibusvoorstellen is gepresenteerd geeft de EC onder andere in Annex I inzicht welke stakeholders het heeft geconsulteerd. Dit betreft een brede groep stakeholders, waaronder zowel burgerrechtenorganisaties als grote techbedrijven. Het kabinet ziet geen noodzaak hier verdere opheldering over te vragen. In het algemeen is er vanuit mijn ministerie regelmatig contact met stakeholders en zet het kabinet erop in bij de standpuntbepaling voor Europese voorstellen een brede groep stakeholders te betrekken. Dit wordt ook gereflecteerd in het standpunt over de omnibusvoorstellen. Ik heb zelf geen gesprekken gevoerd met lobbyisten van grote Amerikaanse techbedrijven over deze omnibussen voor de totstandkoming van het kabinetsstandpunt.

27

De leden van de GroenLinks-PvdA-fractie verwachten een stevige inzet van Nederland om de bezwaren, zorgen en vragen daadkrachtig in te brengen in Europees verband. Deze leden vragen de minister om daad bij woord te voegen en niet in te stemmen met de omnibusvoorstellen als de zorgen niet volledig zijn weggenomen. Met welke Europese lidstaten denkt de minister samen op te kunnen trekken?

Antwoord

Het kabinet zet er in eerste instantie op in om de voorstellen op het voorstel in lijn met de kabinetsinzet te verbeteren. Het kabinet heeft haar zorgen op deze punten geuit en heeft amendementen ingediend die deze zorgen adresseren. Het kabinet zal op basis van het uiteindelijke onderhandelingsresultaat beoordelen of het resultaat voldoende in lijn is met de Nederlandse inzet.

Het kabinet kan niet ingaan op posities van specifieke landen in de onderhandelingen. In het algemeen is er breed draagvlak onder de lidstaten voor het verlagen van regeldruk en voor de omnibussen. Voor specifiek deze omnibussen is het krachtenveld nog lastig te overzien. De standpuntvorming is in de meeste lidstaten nog bezig. Daarom maken veel lidstaten nog een voorbehoud op hun inbreng en positie. Met betrekking tot de zorgen over bepaalde wijzigingen aan de AVG en het Europees centraal meldpunt zijn er meerdere lidstaten die vergelijkbare zorgen lijken te hebben. Er lijkt ook voldoende steun om verschillende zorgen van het kabinet m.b.t. de Omnibus AI te adresseren, zoals het verwijderen van de registratieplicht voor AI-systemen die in een hoog-risico context worden gebruikt, maar zelf geen hoog risico creëren.

28

De leden van de CDA-fractie hebben kennisgenomen van de fiches en danken het kabinet hiervoor. Deze leden maken graag van de gelegenheid gebruik om enkele vragen te stellen aan het kabinet hierover.

Zij merken op dat in het fiche inzake Omnibus AI en Omnibus Digitaal verschillende problemen – zoals regeldruk, uitvoerbaarheid, overlap in regelgeving en innovatiebelemmeringen – naast elkaar worden genoemd. Kan het kabinet expliciet maken welk concreet probleem met deze omnibussen primair wordt opgelost en hoe de voorgestelde maatregelen hier aantoonbaar op aansluiten?

Antwoord

De voorstellen hebben als primaire doel regeldruk te verlagen. Regeldruk, uitvoerbaarheid, overlap in regelgeving en innovatiebelemmeringen zijn aan elkaar gerelateerde problemen. Overlap in regelgeving kan tot regeldruk leiden, net als regels die slecht uitvoerbaar zijn. Regeldruk kan daarnaast een innovatiebelemmering zijn. Bij data- en platformwetgeving wordt regeldruk primair verlaagd door overlap in wetgeving te verminderen. Rondom met name de AI-verordening zien veel voorstellen op de uitvoerbaarheid, zoals aanvullende richtsnoeren en maatregelen die het makkelijker voor bedrijven om aan de eisen uit de verordening te voldoen.

29

De leden van de CDA-fractie constateren dat de Omnibus AI en Omnibus Digitaal worden gepresenteerd als vereenvoudigingsvoorstellen, terwijl zij raken aan grondrechten, toezicht, sanctiebevoegdheden en nationale veiligheid. Hoe beoordeelt het kabinet of het omnibus-instrument passend is voor voorstellen met deze inhoudelijke en normatieve zwaarte?

Antwoord

Het kabinet kan veel aanpassingen binnen de omnibussen steunen, omdat deze in lijn met de Nederlandse inzet digitale wetgeving versimpelen, verduidelijken en stroomlijnen, waarbij de doelen van de wetgeving overeind blijven. Een deel van de voorstellen in de Omnibus Digitaal en Omnibus AI gaat echter verder dan het versimpelen, verduidelijken en stroomlijnen van wetgeving. In het bijzonder bij een aantal fundamentele wijzigingen aan de AVG heeft het kabinet serieuze zorgen.

Zoals aangegeven in de beantwoording van vraag 3 zet het kabinet erop in deze wijzigingen aan de AVG te behandelen op een wijze die recht doet aan de potentiële impact en de zorgpunten. Zoals aangegeven in de beantwoording op vraag 11 heeft het kabinet daarom de EC verzocht een uitgebreidere analyse te presenteren van de impact van de voorstellen die verdergaan dan versimpeling. Het kabinet heeft daarnaast aangegeven dat het advies van de EDPS in samenspraak met het EDPB moet worden betrokken bij de bespreking van deze voorstellen.

30

Deze leden delen de zorgen over onderdelen van de Omnibus AI en Omnibus Digitaal waarbij regeldrukreductie onvoldoende is onderbouwd, terwijl rechtszekerheid, grondrechten en democratische controle onder druk kunnen komen te staan. Zij achten het van belang dat vereenvoudiging niet leidt tot afzwakking van bestaande waarborgen en dat wezenlijke keuzes niet verschuiven naar uitvoeringshandelingen zonder politieke weging. De leden van de CDA-fractie vragen het kabinet hoe zij deze aandachtspunten in de verdere Europese onderhandelingen zal borgen en op welke wijze en op welk moment de Kamer hierover nader zal worden geïnformeerd.

Antwoord

Het kabinet zet er in eerste instantie op in om de voorstellen op deze punten in lijn met de kabinetsinzet te verbeteren. Het kabinet zoekt daarvoor steun bij andere lidstaten. Daarnaast zet het kabinet, zoals aangegeven in de beantwoording van vraag 29, erop in dat bepaalde onderdelen van de omnibussen worden behandeld op een wijze die recht doet aan de potentiële impact en de zorgpunten

In de beantwoording van het verzoek om reactie op informatieafspraken over EU-voorstel Digitaal Pakket dat uw Kamer heeft gestuurd ga ik in op de manier waarop uw Kamer over de voortgang van de onderhandelingen wordt geïnformeerd.

31

Deze leden nemen kennis van de zorgen van het kabinet over voorstellen waarbij verantwoordelijkheden en afhandeling verschuiven naar Europees niveau, onder meer waar dit nationale bevoegdheden en uitvoerbaarheid raakt. Zij vragen het kabinet hoe zij in de verdere behandeling zal borgen dat vereenvoudiging niet leidt tot het verplaatsen van bestuurlijke verwarring, onduidelijkheid of verschillen van interpretaties, maar daadwerkelijk bijdraagt aan een overzichtelijker en beter uitvoerbaar stelsel, en hoe de Kamer hierover zal worden geïnformeerd.

Antwoord

Het kabinet zet zich in voor effectieve EU-governance op digitale wetgeving die zorgt voor een consistente toepassing van de wetgeving, ook over landsgrenzen heen. Het verschuiven van bepaalde bevoegdheden naar EU-niveau of het versterken van samenwerking tussen toezichthouders op EU-niveau kan in dit opzicht ook positief zijn. Het voorstel draagt op een aantal punten bij aan een overzichtelijker en beter uitvoerbaar EU-stelsel, bijvoorbeeld door ruimte te creëren de Europese Raad voor Gegevensinnovatie (EDIB) effectiever in te richten en het toezicht op AI-systemen van zeer grote online platforms en zoekmachines onder de bevoegdheid van de EC te plaatsen.

De zorgen met betrekking tot nationale bevoegdheden zien met name op het beoogde Europees centraal meldpunt. Daarbij hecht het kabinet waarde aan het behoud van nationale meldstructuren, zeker gezien de gevoeligheid van incidentinformatie en de aansluiting op bestaande nationale werkwijzen. Het kabinet vindt het belangrijk dat vereenvoudiging en harmonisatie van cybersecuritywetgeving daadwerkelijk bijdragen aan duidelijkheid en lagere regeldruk voor bedrijven, zonder nieuwe uitvoeringsproblemen of interpretatieverschillen te veroorzaken. Het kabinet volgt de verdere behandeling van de voorstellen en zal de Kamer informeren over relevante ontwikkelingen tijdens de onderhandelingen.

Daarnaast is het kabinet kritisch zoals in het BNC-fiche aangegeven op een aantal delegatiebevoegdheden die aan de EC worden toegekend omdat deze essentiële onderdelen van de betreffende verordening betreffen. In de beantwoording van het verzoek om reactie op informatieafspraken over EU-voorstel Digitaal Pakket dat uw Kamer heeft gestuurd, ga ik in op de manier waarop uw Kamer over de voortgang van de onderhandelingen wordt geïnformeerd.

32

De leden van de CDA-fractie merken op dat onderdelen van het Digitale Pakket in afzonderlijke BNC-fiches worden beoordeeld. Hoe borgt het kabinet dat het parlement zicht houdt op de cumulatieve effecten van deze voorstellen op grondrechten, uitvoeringslasten en toezicht, en niet slechts per afzonderlijk dossier?

Antwoord

De verschillende voorstellen zijn in afzonderlijke fiches beoordeeld om recht te doen aan de inhoud van de verschillende voorstellen en uw Kamer voor elk voorstel van een betekenisvolle beoordeling te kunnen voorzien. De voorstellen hebben raakvlakken en kunnen elkaar versterken, maar zijn inhoudelijk ook verschillend. Het kabinet houdt daarbij nog steeds zicht op de cumulatieve effecten.

33

Deze leden constateren dat het kabinet in het fiche wijst op het belang van bestaande nationale uitvoeringspraktijken en meldstructuren. Deze leden vragen het kabinet hoe zij deze nationale ervaringen en werkende oplossingen concreet zal inbrengen in de Europese onderhandelingen, en hoe wordt voorkomen dat Europese vereenvoudiging ten koste gaat van maatwerk en effectief functionerende nationale systemen.

Antwoord

Het kabinet verwacht dat het verlagen van regeldruk meer efficiënt en tijdig kan worden bereikt door voort te bouwen op bestaande nationale oplossingen in plaats van het organiseren van een Europees meldpunt. Nationale meldstructuren en meldpunten sluiten aan bij de manier van samenwerken en communiceren die entiteiten hebben met de Nederlandse overheid. Het kabinet pleit er in de onderhandelingen voor deze nationale meldstructuren en meldpunten in stand te houden, en zal zich hier actief voor inzetten tijdens de onderhandelingen.

34

Zij zien ook dat de registratieplicht en de documentatie-inzage-bevoegdheid komen te vervallen. De leden van de CDA-fractie vragen of dit nu echt leidt tot de gewenste regeldrukvermindering. Ook zijn deze leden benieuwd naar de gevolgen hiervan voor toezicht: wordt dat niet onnodig ingewikkelder op deze manier, voor bijvoorbeeld MKB?

Antwoord

Alhoewel een formeel impact assessment ontbreekt heeft de EC wel uitleg gegeven over de gemaakte keuzes en de voorziene impact in het SWD dat tegelijk met het voorstel is gepubliceerd. Voor wat betreft het schrappen van de registratieplicht in de AI-verordening voor AI-systemen die in hoog-risico context worden gebruikt geeft de EC aan dat dit slechts een beperkte lastenverlichting oplevert. Voor alle aanbieders van AI-systemen in de EU levert het schrappen van de registratieplicht een lastenverlichting op van in totaal €150.000 per jaar. Het kabinet is kritisch op deze voorgestelde wijziging omdat het de transparantie over het gebruik van AI-systemen in hoog-risicocontext en bemoeilijkt het toezicht op deze systemen bemoeilijkt. Er lijkt voldoende steun in de Raad voor behoud van deze registratieplicht.

Voor de voorgestelde wijzigingen aan de informatieplicht (artikel 13(4) AVG) geeft het SWD geen kwantitatieve inschatting van de lastenverlichting. Het kabinet onderschrijft dat sommige voorstellen uit de omnibussen de regeldruk niet wezenlijk lijken te verlagen, waaronder deze voorgestelde wijziging. Het kabinet heeft daarom ten aanzien van verschillende artikelen opheldering gevraagd aan de Commissie hierover of amendementen ingediend om de voorstellen op deze onderdelen te verbeteren.

35

Zij vragen daarnaast hoe dit met de Omnibus voorstellen gefaciliteerd wordt. De leden van de CDA-fractie zijn benieuwd naar de coördinatie hiervan: komen er aanspreekpunten op nationaal niveau die ook in contact staan met Europese toezichthouders?

Antwoord

Het kabinet heeft in het kader van de omnibussen regelmatig contact met de (beoogde) nationale toezichthouders voor de verschillende verordeningen over onder andere de uitvoerbaarheid van de omnibusvoorstellen voor toezichthouders. De nationale toezichthouders nemen deel aan de verschillende samenwerkingsverbanden voor het toezicht op de verordeningen die onderdeel zijn van de omnibussen, zoals de EDPB en de Europese Raad voor Gegevensinnovatie (EDIB). Voor de wetten waar Europees toezicht op is, nemen de Europese toezichthouders ook deel aan deze samenwerkingsverbanden.

36

De leden van de JA21-fractie hebben kennisgenomen van de aanhangige stukken. Deze leden steunen de inzet op minder regeldruk en een sterkere digitale interne markt, maar “vereenvoudiging” mag geen afbouw van grondrechten of nationale veiligheid betekenen. Zij constateren allereerst dat het ontbreken van een impact assessment bij dit type ingrijpende voorstellen (AVG, cybersecurity governance) onvoldoende acceptabel is. De leden van de JA21-fractie hebben verder de volgende vragen.

Allereerst vragen deze leden: kan het kabinet per onderdeel aangeven of het gaat om (i) echte vereenvoudiging of (ii) inhoudelijke herijking (met name AVG en cybermeldpunt), en welke NL-inzet hierbij hoort? Verder, wanneer verwacht het kabinet het EDPS-advies en op welk moment wordt dat betrokken in de Raadsbehandeling?

Antwoord

Een belangrijk uitgangspunt van Nederlandse inzet voor deze omnibussen is dat de omnibussen digitale wetgeving versimpelen, verduidelijken en stroomlijnen en dat de doelen van de wetgeving daarbij overeind blijven. Daaruit volgt dat het kabinet in principe positief staat tegenover vereenvoudigingsvoorstellen en voorstellen voor inhoudelijke herijking kritisch beziet, zoals ook beschreven in het BNC-fiche.

De onderdelen van de omnibussen die datawetgeving wijzigen zien vooral op vereenvoudiging. Het kabinet kan deze wijzigingen in grote mate steunen. Het kabinet ziet een aantal fundamentele wijzigingen aan de AVG. Het kabinet heeft hier serieuze zorgen over en zet erop in dat deze voorstellen worden behandeld op een manier die recht doet aan de impact van de wijzigingen en de zorgen van het kabinet. Zoals uiteengezet in het BNC-fiche, heeft Nederland serieuze zorgen over wijzigingen die het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk. Vanzelfsprekend dient de bescherming van grondrechten gewaarborgd te blijven.

Het voorstel voor een Europees meldpunt is gepresenteerd als een vereenvoudiging, maar het kabinet betwijfelt of dit voorstel daadwerkelijk vereenvoudigt en heeft diverse inhoudelijke bezwaren tegen het beoogde meldpunt. Het kabinet zet in op het behoud van nationale verantwoordelijkheden, met name waar het gaat om de verwerking van gevoelige incidentinformatie, nationale veiligheid en de uitvoerbaarheid van toezicht en handhaving. Het kabinet kijkt daarbij kritisch naar de toegevoegde waarde, proportionaliteit en risico’s van verdere centralisatie op EU-niveau.

Het schrappen van de Platform-to-Business-verordening beoogt alleen te vereenvoudigen. Het kabinet steunt vereenvoudiging van platformwetgeving, maar het huidige voorstel zorgt op bepaalde punten ook voor inhoudelijke herijking van platformwetgeving en het toezicht daarop. Daarom zet het kabinet in op behoud van de verplichtingen die voor de bescherming van gebruikers van platforms het meest van belang zijn. Tot slot bevat de Omnibus AI verschillende wijzigingen die het voldoen aan de AI-verordening vereenvoudigen en die het kabinet steunt en een aantal voorstellen die de verordening inhoudelijk wijzigen en waar het kabinet kritisch op is of vragen bij heeft.

De gezamenlijke EDPB/EDPS-opinie voor de Omnibus AI is 21 januari gepresenteerd.¹⁷ De gezamenlijke EDPB/EDPS-opinie over de Omnibus Digitaal is 11 februari gepresenteerd.¹⁸

37

Zij vragen ook: welke concrete meetlat gebruikt het kabinet om regeldrukreductie te kwantificeren (tijd, kosten, FTE), gegeven de Commissie-doelstelling van 25%/35% richting 2029?

Antwoord

Voor het analyseren van de verwachte regeldrukeffecten hanteert het Kabinet het zogenoemde Standaard Kostenmodel (SKM). Een methodiek die internationaal wordt toegepast – ook in Nederland – om regeldrukeffecten in kaart te brengen en te kwantificeren. Daarbij wordt gekeken welke verplichting wordt geïntroduceerd, afgeschaft of vereenvoudigd, wat het effect hiervan is op de handelingen (zowel aantal als frequentie) die de doelgroep moet uitvoeren om aan de verplichting te kunnen voldoen en of dit gepaard gaat met een tijdstoename of -besparing. Die tijdstoename of -besparing kan vervolgens worden omgerekend naar een kosteneffect voor een individueel bedrijf en voor de gehele doelgroep waar de maatregel betrekking op heeft. Normaliter horen voorstellen van de Commissie gepaard te gaan met een uitgebreide Impact Assessment, waarbij de regeldrukeffecten volgens deze systematiek worden gekwantificeerd. De uitkomsten van zo’n Impact Assessment kan het kabinet vervolgens gebruiken om de effecten ‘te vertalen’ naar de Nederlandse situatie.

Voor dit specifieke voorstel ontbreekt een dergelijk Impact Assessment. Wel wordt in het SWD dat met het voorstel is gepubliceerd een lastenreductie van €1,3 miljard per jaar voor Europese bedrijven genoemd. Het kabinet heeft de EC verzocht uitgebreidere analyse van de impact van de voorstellen te presenteren en zal zich zelf ook inspannen om een beter beeld te krijgen van de effecten van het voorstel. Hierbij zullen belanghebbenden uiteraard zoveel mogelijk worden betrokken.

38

Inzake de Omnibus AI willen de leden JA21-fractie vragen: steunt het kabinet de voorkeur voor vaste ingangsdata voor hoog-risico AI en verzet het zich tegen een “Commissiebesluit-draaiknop”? Wat is de Nederlandse inzet met betrekking tot de uiterste data 2 dec 2027 / 2 aug 2028: wil het kabinet korter uitstel en, zo ja, met welke coalitie? Kan het kabinet toelichten waarom het schrappen van de registratieplicht onwenselijk is voor transparantie en toezicht, en welke alternatieven het ziet voor lastenreductie zonder transparantieverlies? Als laatste: hoe beoordeelt het kabinet de uitbreiding van de wettelijke basis voor verwerking van bijzondere persoonsgegevens voor bias-detectie naar alle AI-systemen/modellen, en welke waarborgen/afbakening is minimaal vereist?

Antwoord

Het kabinet ziet liever dat wordt vastgehouden aan vaste data voor inwerkingtreding van de bepalingen voor hoog-risico AI. De koppeling van inwerkingtreding aan een Commissiebesluit brengt onzekerheid met zich mee. Het kabinet ziet voor hoog-risico AI-systemen in bijlage III liever korter uitstel dan de huidige 16 maanden.

Het is in eerste instantie aan het oordeel van de aanbieder om te bepalen dat een AI-systeem dat wordt gebruikt in een hoog-risico context op zichzelf geen hoog risico veroorzaakt, bijvoorbeeld omdat het AI-systeem alleen procedurele taken uitvoert. In dat geval hoeft de aanbieder zich niet aan de regels voor hoog-risico AI-systemen te houden. Omdat de aanbieder zelf in eerste instantie deze beoordeling maakt en deze AI-systemen nog steeds in een hoog-risico context worden toegepast is het belangrijk dat toezichthouders kunnen toetsen of deze bepaling juist wordt toegepast. De registratieplicht is essentieel voor toezichthouders om dit effectief te doen. Zonder registratieplicht hebben toezichthouders geen inzicht hoeveel en welke AI-systemen actief zijn in een hoog-risico context zonder aan de eisen van de AI-verordening te voldoen. De EC schat dat de registratieplicht jaarlijks in totaal €150.000 aan administratieve last oplevert in de EU. Het kabinet acht dit proportioneel en ziet geen betere alternatieven.

Het kabinet bestudeert verder of de risico’s van de uitbreiding van de wettelijke basis voor verwerking van bijzondere persoonsgegevens voor bias-detectie en -correctie proportioneel zijn tot het doel en of deze risico’s voldoende kunnen worden beperkt. Het kabinet hecht bij de beoordeling van dit onderdeel bijzonder belang aan de gezamenlijke opinie van de EDPB/EDPS die 21 januari is gepresenteerd¹⁹.

39

Inzake AVG en ePrivacy hebben deze leden de volgende vragen: kan het kabinet concreet aangeven welke AVG-wijzigingen het niveau van gegevensbescherming “wezenlijk” verminderen en welke wijzigingen het kabinet daarom onacceptabel acht? Hoe borgt het kabinet dat bevoegdheden niet verschuiven van onafhankelijke toezichthouders/EDPB naar de Commissie op een manier die grondrechtenbescherming politiseert? Hoe kijkt het kabinet aan tegen de grondslag “gerechtvaardigd belang” voor AI-training: welke begrenzing en controleerbaarheid eist het kabinet?

Antwoord

Zoals is aangegeven in het BNC-fiche, is één van de voorgestelde wijzigingen aan de AVG die de meeste impact lijkt te hebben op het niveau van gegevensbescherming de wijziging van de definitie van het begrip persoonsgegevens. Dit begrip bepaalt immers of de AVG – en alle rechten van betrokkenen – van toepassing is. Dat deze wijziging de meeste impact zou hebben, is inmiddels bevestigd in het advies van de EDPB en EDPS van 10 februari jl. Zij stellen dat deze wijziging zou leiden tot een aanzienlijke beperking van het begrip persoonsgegeven en aldus van de reikwijdte van de AVG. De EDPB en EDPS adviseren met klem om de wijziging van deze definitie niet te aanvaarden. Er lijkt steun van meerdere lidstaten om deze wijziging terug te draaien.

Een andere wijziging die bijvoorbeeld impactvol lijkt te zijn is het voorstel voor het creëren van grondslagen voor het verwerken van (met name bijzondere) persoonsgegevens voor het trainen en exploiteren van AI-systemen. Dit voorstel lijkt nu vast te leggen dat bij de training en exploitatie van een AI-model de grondslag ‘gerechtvaardigd belang’ per definitie is gegeven, zonder dat daarvoor een noodzakelijkheidstoets en de bijbehorende belangenafweging noodzakelijk is. Het kabinet acht een noodzakelijkheidstoets en de bijbehorende belangenafweging bij de toepassing van de grondslag gerechtvaardigd belang echter essentieel om de grondrechten van burgers te waarborgen.

Het voorstel voorziet daarnaast ook in de verwerking van bijzondere persoonsgegevens voor het trainen en exploiteren van AI-systemen; ook dit is een voorbeeld van een wijziging met mogelijk grote impact op het beschermingsniveau. Zoals ook uiteengezet in het BNC-fiche, genieten bijzondere persoonsgegevens juist extra bescherming vanwege de gevolgen die de verwerking van deze bijzondere categorieën van persoonsgegevens voor de betrokkenen kunnen hebben. Wanneer deze gegevens mogen worden verwerkt voor genoemd doel, is het extra belangrijk dat er goede randvoorwaarden zijn. Zoals aangegeven bij het antwoord op vraag 18, vergt het nadere beoordeling of deze bevoegdheden verder moeten worden verruimd. Dit zou alleen aan de orde kunnen zijn als de fundamentele rechten voldoende gewaarborgd zijn.

De EDPB en EDPS stellen in hun advies van 10 februari jl. dat de voorgestelde bepalingen over de verwerking van bijzondere persoonsgegevens in AI-context op tal van punten verbetering behoeven, onder meer om het toepassingsgebied ervan te verduidelijken en om noodzakelijke waarborgen toe te voegen.

Daarnaast heeft het kabinet zorgen over het verschuiven van bevoegdheden van de EDPB naar de EC en heeft hier verschillende vragen over gesteld aan de EC. Het kabinet pleit er in de onderhandelingen voor dat deze bevoegdheden niet verschuiven naar de EC. Er zijn verschillende lidstaten die dit standpunt steunen.

40

Zij vragen over het Cybersecurity meldpunt (ENISA single entry point) het volgende: kan het kabinet uitleggen waarom een EU-single entry point nodig is bovenop bestaande nationale meldplatformen, en welke risico’s levert dit op voor vitale infrastructuur/nationale veiligheid? En kan er toelichting worden gegeven over de subsidiariteit in het kader van de verdeling van bevoegdheden tussen nationale overheden en Europees? Is het kabinet bereid in te zetten op een federatief model (nationale meldpunten primair, EU-standaarden voor interoperabiliteit) in plaats van centralisatie? Heeft ENISA volgens het kabinet voldoende mandaat/capaciteit om een dergelijk platform te beveiligen en te beheren? Welke voorwaarden stelt het kabinet hiervoor?

Antwoord

Het kabinet heeft kennisgenomen van de voorstellen voor een Europees meldpunt, waaronder het concept van een Single Entry Point (SEP). De precieze uitwerking, reikwijdte en governance van dit SEP zijn op dit moment nog onvoldoende duidelijk. Hierdoor kan het kabinet nog niet goed inschatten wat de gevolgen zijn voor bestaande nationale meldplatformen en de verdeling van verantwoordelijkheden tussen nationaal en Europees niveau.

Nederland beschikt reeds over goed functionerende nationale meldstructuren voor cyberincidenten, waaronder incidenten die raken aan vitale infrastructuur en nationale veiligheid. Het kabinet volgt daarom kritisch de vraag naar de noodzakelijkheid en toegevoegde waarde van een Europees meldpunt bovenop bestaande nationale systemen, mede in het licht van subsidiariteit, effectiviteit en beveiligingsrisico’s.

Ten aanzien van de rol van ENISA benadrukt het kabinet dat de praktische uitvoerbaarheid, het mandaat en de capaciteit van ENISA om een Europees meldpunt te beheren en adequaat te beveiligen nog onvoldoende zijn uitgewerkt. Deze aspecten, waaronder de omgang met zeer gevoelige incidentinformatie, zullen door het kabinet nadrukkelijk worden betrokken in de verdere onderhandelingen.

Het kabinet volgt de verdere behandeling van deze voorstellen en zal aandacht blijven vragen voor subsidiariteit, proportionaliteit, uitvoerbaarheid en de bescherming van nationale veiligheidsbelangen.

41

De leden van de JA21-fractie vragen of het kabinet kan onderbouwen waarom P2B zou kunnen verdwijnen zonder verlies aan rechtszekerheid/handhaving, gezien de constatering dat P2B complementair is aan de DSA/DMA en ACM meldingen ontvangt? Is het kabinet bereid als inzet te kiezen: P2B behouden óf gelijkwaardige handhaafbare bescherming elders vastleggen, inclusief de rol van de ACM?

Antwoord

Volgens de EC is er sprake van verregaande overlap en slechts kleine verschillen tussen de bepalingen in de P2B-verordening en de DMA en DSA. De voordelen van het schrappen van de P2B zouden daarom opwegen tegen het verlies aan beschermingsniveau voor gebruikers. Met het oog op het verminderen van regeldruk en het bevorderen van gerichte en doeltreffende handhaving steunt het kabinet het schrappen van overlappende en overbodige bepalingen in de P2B. Dit geldt echter niet voor alle bepalingen in de P2B, aangezien een aantal bepalingen uit de P2B complementair zijn aan de regels in de Digitale Marktenverordening (DMA) en Digitale dienstenverordening (DSA).

Het kabinet is daarom van mening dat het volledig schrappen van de P2B te rigoureus is en pleit voor een gerichtere aanpak. Een deel van de bepalingen uit de P2B is complementair aan de DMA en de DSA. Het schrappen van deze bepalingen leidt tot verlies aan rechtszekerheid voor ondernemers die hun goederen of diensten aanbieden via kleinere platforms. Het volledig schrappen van de P2B-verordening zal er ook toe leiden dat de ACM niet meer in alle gevallen kan handhaven op de verplichtingen die de P2B momenteel oplegt aan onlinetussenhandelsdiensten en onlinezoekmachines. Dat terwijl de ACM in de afgelopen periode meerdere klachten en handhavingsverzoeken heeft ontvangen die betrekking hebben op het niet naleven van deze verplichtingen.

De inzet van het kabinet is daarom om de belangrijkste bepalingen uit de P2B en het toezicht hierop te behouden. Het kabinet richt zich daarbij primair op de transparantieverplichtingen voor platforms op het gebied van bijvoorbeeld rangschikking (artikel 5) en gedifferentieerde behandeling (artikel 7). Het kabinet trekt hierbij gezamenlijk op met lidstaten die eveneens kritisch staan tegenover het volledig schrappen van de P2B-verordening.

42

Tot slot vragen deze leden: kan het kabinet de Kamer tussentijds informeren over het krachtenveld in de Raad (welke lidstaten steunen welke lijn), met name rond het EU-meldpunt?

Antwoord

Het kabinet kan niet ingaan op posities van specifieke landen in de onderhandelingen. Zoals aangegeven in de beantwoording van vraag 27 is er in het algemeen breed draagvlak onder de lidstaten voor het verlagen van regeldruk en voor de omnibussen. Voor specifiek deze omnibussen is het krachtenveld nog lastig te overzien. De standpuntvorming is in de meeste lidstaten deels nog bezig en het krachtenveld verschilt voor de diverse onderwerpen en wetten die in de omnibus samenkomen. Met betrekking tot de zorgen over bepaalde wijzigingen aan de AVG en het Europees centraal meldpunt zijn er meerdere lidstaten die vergelijkbare zorgen lijken te hebben. Ik zal uw Kamer conform de informatie-afspraken informeren over het krachtenveld.

43

De leden van de BBB-fractie hebben met interesse kennisgenomen van het Fiche: Omnibus AI en Omnibus Digitaal (Kamerstuk 22112-4223) en hebben nog enkele vervolgvragen. Deze leden lezen dat de EC met deze omnibussen streeft naar een vermindering van de administratieve lasten met 25% voor het bedrijfsleven. Hoe beoordeelt de minister de praktische haalbaarheid van deze doelstelling voor het Nederlandse middel- en kleinbedrijf (mkb), gezien het feit dat de Commissie geen impact assessment heeft uitgevoerd en het kabinet zelf aangeeft dat het effect op de regeldruk nog onduidelijk is?

Antwoord

Het kabinet heeft ervoor gepleit om bestaande regels systematisch tegen het licht te houden om waar mogelijk regeldruk te verminderen en steunt daarom de omnibusaanpak van de EC. De geformuleerde doelstelling van een vermindering van de administratieve lasten met 25% komt voort uit de EU-agenda voor betere regelgeving, waar de omnibussen onderdeel van zijn. Niet elke omnibus hoeft op zichzelf 25% regeldrukreductie op te leveren.

Alhoewel een formeel impact assessment ontbreekt heeft de EC wel uitleg gegeven over de gemaakte keuzes en de voorziene impact in het SWD dat tegelijk met het voorstel is gepubliceerd. Zoals aangegeven in het BNC-fiche betwijfelt het kabinet voor sommige voorgestelde wijzigingen, zoals het Europees meldpunt, of deze effectief de regeldruk verlagen voor Nederlandse bedrijven.

44

Zij lezen verder dat in de huidige AI-verordening vaste data staan voor de inwerkingtreding van regels voor hoog-risico AI-systemen. De Commissie stelt nu voor om deze data uit te stellen. Het uitstel zou neerkomen op 12 tot 16 maanden ten opzichte van de oorspronkelijke planning. Kan de minister toelichten waarom de Commissie de bevoegdheid opeist om de deadlines voor de AI-verordening te vervroegen wanneer zij vindt dat standaarden voldoende zijn ontwikkeld? Deelt u de mening van de leden van de BBB-fractie dat dit zorgt voor grote onzekerheid en onvoorspelbaarheid voor ondernemers, en bent u bereid vast te houden aan harde, vaste data voor de inwerkingtreding?

Antwoord

De EC stelt voor deze bevoegdheid te creëren zodat de inwerkingtreding van deze bepalingen wordt gekoppeld aan de beschikbaarheid van voldoende ondersteuningsmaatregelen om aan de AI-verordening te voldoen. Het kabinet deelt de mening dat de koppeling van inwerkingtreding aan een Commissiebesluit onzekerheid met zich mee brengt. Het kabinet ziet liever dat wordt vastgehouden aan vaste data voor inwerkingtreding van de bepalingen over hoog-risico AI-systemen. Er lijkt voldoende steun in de Raad om de koppeling van inwerkingtreding aan een Commissiebesluit te verwijderen.

45

Deze leden lezen dat het voorstel de registratieplicht schrapt voor bepaalde hoog-risico AI-systemen die volgens de aanbieder geen significant risico vormen. Deelt de minister de mening dat dit de transparantie over AI-gebruik in de samenleving verslechtert en het toezicht bemoeilijkt, terwijl de feitelijke verlichting van de regeldruk hierdoor slechts beperkt lijkt?

Antwoord

Het kabinet deelt deze mening. Het verwijderen van deze registratieplicht verlaagt de transparantie over het gebruik van AI-systemen in hoog risico context en bemoeilijkt het toezicht op deze systemen. Bovendien levert deze maatregel slechts een beperkte verlichting van regeldruk op. Er lijkt voldoende steun in de Raad om deze registratieplicht te behouden.

46

Zij lezen dat de Commissie de definitie wil wijzigen om deze in lijn te brengen met het zogenaamde Single Resolution Board-arrest. In hoeverre acht de minister het wenselijk dat de definitie van persoonsgegevens wordt gewijzigd en dat de verwerking van bijzondere persoonsgegevens (zoals ras of gezondheid) voor het trainen van álle AI-modellen wordt toegestaan onder de noemer 'gerechtvaardigd belang'? Welke risico's ziet u hier voor de bescherming van de grondrechten van burgers nu de noodzakelijkheidstoets en belangenafweging lijken te worden gepasseerd?

Antwoord

Zoals uiteengezet in het BNC-fiche, is één van de voorgestelde wijzigingen aan de AVG die de meeste impact lijkt te hebben op het niveau van gegevensbescherming, de wijziging van de definitie van het begrip persoonsgegevens. Dit begrip bepaalt immers of de AVG – en alle rechten van betrokkenen – wel of niet geldt. Deze wijziging roept bij het kabinet veel vragen op, zoals nader toegelicht in het antwoord op vraag 17.

Ook het toestaan van de verwerking van bijzondere persoonsgegevens voor het trainen en exploiteren van AI-systemen is een voorbeeld van een wijziging met mogelijk grote impact op het beschermingsniveau. Daarbij lijkt het voorstel vast te leggen dat training en exploitatie van een AI-model de grondslag ‘gerechtvaardigd belang’ per definitie is gegeven zonder dat een noodzakelijkheidstoets en de bijbehorende belangenafweging moet plaatsvinden. Hierop wordt nader ingegaan in het antwoord op vraag 39.

47

De leden van de BBB-fractie lezen dat het EU AI Office maar liefst 38 extra FTE nodig heeft voor de uitvoering van deze nieuwe taken. Hoe rijmt de minister deze uitbreiding van de Brusselse bureaucratie met de bredere doelstelling van het pakket om de regeldruk en administratieve lasten juist te verminderen?

Antwoord

Het centraliseren van toezicht op EU-niveau, zeker voor zeer grote bedrijven, kan de effectiviteit van toezicht versterken. Dit hoeft niet haaks te staan op het verminderen van regeldruk en administratieve lasten. Het kabinet bestudeert wel nog of met de nieuwe toezichtstaken van de EC de afbakening van bevoegdheden tussen nationale toezichthouders en de EC voldoende duidelijk is.

48

Deze leden lezen dat het voorstel het EU-agentschap voor cyberbeveiliging (ENISA) de opdracht geeft een centraal meldpunt in te richten voor incidenten die vallen onder de CRA, NIS2, CER, DORA, eIDAS en de AVG. Wat zijn de risico's van het voorgestelde Europese centrale meldpunt voor incidenten voor onze nationale veiligheid, aangezien meldingen over de Rijksoverheid en vitale infrastructuur hiermee naar EU-niveau verschuiven? Deelt u de zorg dat dit de effectiviteit van incidentafhandeling schaadt door de afstand tot nationale experts te vergroten?

Antwoord

Zoals uiteengezet in het BNC-fiche, heeft het kabinet zorgen omtrent beveiligingsrisico’s als het gaat om het centraliseren van dergelijke meldplichten binnen één meldpunt. Het verwerken van zeer gevoelige meldingen, en in het bijzonder incidentinformatie van 27 lidstaten is namelijk erg kwetsbaar en een zaak van nationale veiligheid. Daarnaast sluiten nationale meldstructuren en meldpunten aan bij de manier van samenwerken en communiceren die entiteiten hebben met de Nederlandse overheid, terwijl het centraliseren van de meldplichten naar EU-niveau de administratieve lasten voor entiteiten juist verhoogt. Dit zou een belemmering kunnen vormen voor de tijdige afhandeling van cyberincidenten.

49

Zij lezen dat in dit voorstel de P2B-verordening in zijn geheel wordt geschrapt. De Commissie voert aan dat de verplichtingen uit de P2B-verordening inmiddels overlappen met nieuwere wetgeving, zoals de Digitaledienstenverordening (DSA) en de Digitalemarktenverordening (DMA). Opvallend is dat de Commissie geen impact assessment heeft uitgevoerd om de gevolgen van dit besluit te onderbouwen. Kan de minister concreet maken wat het schrappen van de P2B-verordening betekent voor de bescherming van kleine ondernemers en boeren die via digitale platforms handelen? Loopt het mkb hiermee niet het risico op minder rechtszekerheid en een slechtere positie tegenover grote machtige platforms, aangezien de ACM hiermee mogelijk toezichtsbevoegdheden verliest?

Antwoord

Voor het antwoord op de vraag over de concrete gevolgen van het schrappen van de P2B-verordening verwijs ik naar het antwoord op vraag 22. Ten aanzien van de positie van het midden- en kleinbedrijf in verhouding tot de grootste online platforms geldt dat de DMA onverkort van kracht blijft. De DMA biedt ondernemers in veel gevallen verdergaande bescherming tegen oneerlijke praktijken van platforms die als poortwachters zijn aangewezen. De EC houdt toezicht op de naleving van de DMA en wordt daarbij in Nederland ondersteund door de ACM.

50

De leden van de BBB-fractie lezen dat in de voorgestelde Omnibus AI de EC haar handhavingsbevoegdheden wil uitbreiden voor specifieke categorieën AI-systemen waarvoor zij zelf het markttoezicht gaat uitvoeren. Het gaat hierbij om: 1) AI-systemen die gebaseerd zijn op AI-modellen voor algemene doeleinden, 2) AI-systemen die onderdeel zijn van een zeer groot online platform (VLOP) of een zeer grote online zoekmachine. Voor deze systemen stelt de Commissie voor om via uitvoeringshandelingen (een vorm van lagere regelgeving) de details van de handhavingsbevoegdheden te bepalen, waaronder de hoogte van de boetes en de aard van de sancties.

Hoe beoordeelt de minister het voorstel om de Commissie de bevoegdheid te geven zelf boetes en sancties op te leggen via uitvoeringshandelingen voor bepaalde AI-systemen? Deelt u de mening dat sancties een politieke afweging vereisen en daarom altijd in de basishandeling (de verordening zelf) moeten staan, in plaats van via een achterdeur door de Commissie te worden bepaald?

Antwoord

Zoals aangegeven in het BNC-fiche vindt het kabinet dat het toekennen van sanctiebevoegdheden behoort tot de essentiële onderdelen van de basishandeling. Het kabinet zet er daarom op in dat deze bevoegdheden in de verordening zelf worden opgenomen.

51

De leden van de BBB-fractie lezen tot slot dat het kabinet de proportionaliteit van veel maatregelen nog niet goed kan beoordelen door het ontbreken van analyses. Is de minister bereid om de besluitvorming in de Raad te vertragen totdat er een gedegen analyse ligt over de impact op zowel de regeldruk als de grondrechten van Nederlandse ondernemers en burgers?

Antwoord

Alhoewel een formeel impact assessment ontbreekt heeft de EC wel uitleg gegeven over de gemaakte keuzes en de voorziene impact in het SWD dat tegelijk met het voorstel is gepubliceerd.

Zoals aangegeven in het antwoord op vraagt 23 biedt het SWD volgens de EC voldoende basis om te onderhandelen over de voorstellen die zich in lijn met de kabinetsinzet focussen op versimpelen, verduidelijken en stroomlijnen. Voor sommige voorstellen die verdergaan dan het versimpelen, verduidelijken en stroomlijnen van wetgeving maakt het ontbreken van een impact assessment het moeilijk voor het kabinet om de effecten te beoordelen.

Het kabinet heeft de EC verzocht een uitgebreidere analyse van de impact van deze voorstellen te presenteren. Het kabinet heeft daarnaast aangegeven dat het advies van de EDPS en EDPB moet worden betrokken bij de bespreking van deze voorstellen. Ook brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart. Daarmee zet het kabinet erop in de voorstellen die verdergaan dan versimpeling te behandelen op een wijze die recht doet aan de potentiële impact en de zorgpunten. Een formeel impact assessment is niet de enige manier om deze inzet te bewerkstelligen.

---

1. Position paper AP: Omnibus Digitaal en Omnibus AI | Autoriteit Persoonsgegevens↩︎

2. EDPB-EDPS Joint opinion 1/2026 on the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) | European Data Protection Board↩︎

3. SWD(2025) 836 final.↩︎

4. Paragraaf 1, COM 2025(837) final.↩︎

5. Zie §66 van het advies: “a decision which produces legal effects for a data subject or similarly significantly affects them shall not be based solely on automated processing, including profiling, unless that decision: (...).’”↩︎

6. https://www.autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-omnibus-digitaal-en-omnibus-ai↩︎

7. Digital Omnibus Regulation Proposal | Shaping Europe’s digital future↩︎

8. Betere regelgeving - Europese Commissie↩︎

9. IMMC.COM%282024%29357%20final.NLD.xhtml.2_NL_ACT_part1_v2.docx↩︎

10. Zie onder meer J. Mannekens, annotatie bij HvJ EU 4 september 2025 (SRB-arrest), nr. C-413/23 P, Computerrecht 2025/195 en I. Ezzamouri en R.P. Santifort, annotatie bij diezelfde uitspraak, Jurisprudentie Bescherming Persoonsgegevens 2025, blz. 1135-1138,↩︎

11. HvJ EU 04-09-2025, C-413/23 P, ECLI:EU:C:2025:645, paragraaf 85: “Voor zover niet is uitgesloten dat deze derden redelijkerwijs in staat zullen zijn om met middelen, zoals een vergelijking met andere gegevens waarover zij beschikken, de gepseudonimiseerde gegevens te koppelen aan de betrokkene, moet deze persoon dus worden geacht identificeerbaar te zijn, zowel wat de doorgifte als wat de verdere verwerking van die gegevens door die derden betreft.↩︎

12. Hof van Justitie EU 7 maart 2024, C-604/22, ECLI:EU:C:2024:214 (IAB Europe/Gegevensbeschermingsautoriteit), paragraaf 46, en HvJEU 7 maart 2024, C-479/22, ECLI:EU:C:2024:215 (OC/Europese Commissie), paragraaf 55.↩︎

13. Rb. Midden-Nederland 23 april 2025, ECLI:NL:RBMNE:2025:1760, rechtsoverweging 3.10 – 3.13.↩︎

14. HvJ EU 04-09-2025, C-413/23 P, ECLI:EU:C:2025:645, paragraaf 77.↩︎

15. Digital Omnibus Regulation Proposal | Shaping Europe’s digital future↩︎

16. Article by article, how Big Tech shaped the EU’s roll-back of digital rights | Corporate Europe Observatory↩︎

17. EDPB-EDPS Joint opinion 1/2026 on the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) | European Data Protection Board↩︎

18. Digital Omnibus: EDPB and EDPS support simplification and competitiveness while raising key concerns | European Data Protection Board↩︎

19. EDPB-EDPS Joint opinion 1/2026 on the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) | European Data Protection Board↩︎