Preview document (🔗 origineel)

---

22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Nr. 4301 BRIEF VAN DE TIJDELIJKE COMMISSIE GRONDRECHTEN EN CONSTITUTIONELE TOETSING

Aan de Leden

Den Haag, 2 april 2026

De tijdelijke commissie Grondrechten en Constitutionele toetsing (hierna: de tijdelijke commissie) heeft tijdens haar procedurevergadering van 5 maart 2026 besloten naar aanleiding van het verzoek van de vaste commissie voor Digitale Zaken van 25 februari 2026 (2026D08516) een adviestraject te starten over constitutionele en grondrechtelijke aspecten in het voorstel voor EU-verordening Digitale Omnibus COM (2025) 837. De vaste commissie voor Digitale Zaken is hierover geïnformeerd met een brief van 5 maart 2026 (2026D10051). De vaste commissie voor Digitale Zaken heeft verzocht om in het bijzonder in te gaan op de grondrechtelijke bescherming van persoonsgegevens, met specifieke aandacht voor wijzigingen in AVG-grondslagen en artikel 9 AVG, evenals mogelijke andere grondrechtelijke of constitutionele aandachtspunten die de tijdelijke commissie van belang acht.

Doel en inhoud van de Digitale Omnibus: minder regeldruk en een betere concurrentiepositie De afgelopen jaren heeft de Europese digitale regelgeving zich sterk ontwikkeld. Onder meer door de komst van nieuwe technologieën als AI, de wens om de economische potentie van data beter te ontsluiten en het streven om de fundamentele rechten van burgers goed te (blijven) beschermen, zijn er diverse nieuwe regels bijgekomen. Hierdoor is er een veelomvattend, maar ook complex wettelijk kader ontstaan. Met de Digitale Omnibus¹ wil de Europese Commissie (de Commissie) regelgeving in het digitale domein vereenvoudigen. Het achterliggende doel hiervan is om de lasten voor bedrijven, overheden en burgers te verminderen en het concurrentievermogen van de Europese Unie (EU) – specifiek in het digitale domein - te stimuleren, zonder dat dit afbreuk doet aan de bescherming van fundamentele rechten. De tijdelijke commissie merkt op dat de Digitale Omnibus hiermee past binnen een breder streven op zowel Europees als nationaal niveau. Zo wordt onder meer in het rapport-Draghi², het rapport-Wennink³ en in de Kamer⁴ het belang onderstreept van het tegengaan van regeldruk en het versterken van de Europese en Nederlandse concurrentiepositie.

Omdat de Digitale Omnibus bestaat uit een groot aantal - veelal technische – vereenvoudigingsmaatregelen in diverse Europese verordeningen en richtlijnen, richt de tijdelijke commissie zich in dit advies op een aantal specifieke onderdelen van de Digitale Omnibus die zien op het aanpassen van de Algemene Verordening Gegevensbescherming (AVG). Het gaat dan bijvoorbeeld om het voorstel om de definitie van persoonsgegevens te wijzigen, voorstellen voor aanvullende grondslagen voor de verwerking van (bijzondere) persoonsgegevens voor AI en voorstellen om de AVG-rechten van burgers te wijzigen. Hiermee sluit de tijdelijke commissie aan op het verzoek van de vaste commissie voor Digitale Zaken en richt zij zich op voorstellen met gevolgen voor fundamentele rechten en beginselen, in het bijzonder het recht op bescherming van persoonsgegevens en de rechtszekerheid.

Het recht op bescherming van persoonsgegevens en de rechtszekerheid
Het recht op bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest van de Grondrechten van de EU (het Handvest), artikel 8 van het Europees Verdrag van de Rechten van de Mens (EVRM) en artikel 10 van de Grondwet. In de AVG is het recht op bescherming van persoonsgegevens nader uitgewerkt. Kort samengevat geldt dat, wanneer er sprake is van een inmenging in het recht op bescherming van persoonsgegevens, dit moet worden gebaseerd op een duidelijke wettelijke grondslag en dat deze inmenging noodzakelijk en proportioneel moet zijn. De tijdelijke commissie wijst erop dat, wanneer er nieuwe regels voor de verwerking van persoonsgegevens worden voorgesteld – zoals in de Digitale Omnibus het geval is – hiervan óók de noodzaak en proportionaliteit zorgvuldig moeten worden gemotiveerd. Voor bijzondere persoonsgegevens gelden bovendien strikte regels. Omdat deze gegevens zien op de wezenlijke kenmerken van iemands identiteit - zoals informatie over iemands gezondheid, geaardheid, etniciteit of politieke voorkeur - mogen deze gevoelige gegevens in beginsel niet worden verwerkt.

De rechtszekerheid is een algemeen rechtsbeginsel waaruit volgt dat het voor iedereen in redelijke mate voorzienbaar moet zijn wat de rechtsgevolgen van bepaald gedrag zijn. De rechtszekerheid is hierdoor een belangrijk element voor het vertrouwen in het rechtssysteem.⁵ De tijdelijke commissie onderstreept dat de rechtszekerheid hierdoor ook van invloed is op het ondernemingsklimaat en de concurrentiepositie. Wanneer regelgeving duidelijk, voorspelbaar en uitvoerbaar is, hebben zowel burgers als ondernemers hier immers baat bij.⁶

De Europese wetgevingsprocedure en het advies van de tijdelijke commissie
De Digitale Omnibus is een Europees voorstel. Dat betekent dat niet de nationale, maar de Europese wetgevingsprocedure hierop van toepassing is. De tijdelijke commissie merkt in dit verband op dat de Europese wetgevingsprocedure ten tijde van de vaststelling van dit advies nog gaande is. De Commissie heeft het voorstel voor een Digitale Omnibus gepubliceerd, maar de posities van de Raad of het Europees Parlement (EP) zijn nog niet bekend. De triloog, waarin de Commissie, Raad en het EP onderhandelen over de uiteindelijke wettekst, is ten tijde van dit advies dan ook nog niet van start gegaan. Waar de tijdelijke commissie in dit advies adviseert om bepaalde informatie op te vragen bij de Commissie, geldt dat de leden van de vaste commissie voor Digitale Zaken dit gedurende de Europese wetgevingsprocedure op verschillende manieren kunnen doen. Naast een verzoek aan het kabinet om de desbetreffende informatie bij de Commissie op te vragen, kan de Kamer dergelijke verzoeken ook rechtstreeks tot de Commissie richten via een politieke dialoog.⁷

A. De motivering van de voorgestelde wijzigingen van de AVG
De AVG is in het leven is geroepen voor twee doelen. Naast het stellen van regels over de bescherming van persoonsgegevens heeft de AVG ook als doel om het vrij verkeer van persoonsgegevens binnen de EU te stimuleren, om zo de (digitale) economie en de Europese interne markt te versterken.⁸ De voorstellen tot wijziging van de AVG in de Digitale Omnibus passen volgens de Commissie binnen deze doelen en zijn louter technisch van aard. De voorstellen bevatten volgens de Commissie namelijk geen beleidsmatige wijzigingen, maar dienen alleen ter verlaging van de regeldruk en het versterken van de Europese concurrentiepositie. De tijdelijke commissie merkt op dat deze redenering gevolgen heeft voor de motivering van de Digitale Omnibus: bij technische voorstellen wordt namelijk geen impact assessment uitgevoerd.

In dit licht signaleert de tijdelijke commissie dat de voorstellen tot wijziging van de AVG verder lijken te gaan dan louter technische wijzigingen. Dit geldt bijvoorbeeld voor het voorstel om de definitie van persoonsgegevens aan te passen, of het voorstel om meer ruimte te geven aan de verwerking van (bijzondere) persoonsgegevens voor AI.⁹ Ook het samenwerkingsverband van Europese privacytoezichthouders – de European Data Protection Board (EDPB) – wijst er in haar advies aan de Commissie op dat de Digitale Omnibus verder strekt dan louter technische wijzigingen.¹⁰ Het kabinet stelt zich eveneens op dit standpunt en uit serieuze zorgen bij fundamentele wijzigingen van de AVG die het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk.¹¹

De tijdelijke commissie benadrukt dat een impact assessment relevante informatie bevat voor het motiveren van de noodzaak en proportionaliteit van voorstellen die raken aan grondrechten. Het doel van de Digitale Omnibus is immers het vereenvoudigen en verduidelijken van de huidige regels – in het bijzonder voor het midden- en kleinbedrijf (MKB) – zonder afbreuk te willen doen aan de bescherming van persoonsgegevens.¹² De voorgestelde wijzigingen van de AVG raken hierdoor onder meer aan het recht op bescherming van persoonsgegevens en aan de rechtszekerheid. In dit verband wijst de tijdelijke commissie erop dat uit de richtlijnen van de Commissie volgt dat juist aan deze twee aspecten – de gevolgen voor het MKB en de gevolgen voor grondrechten – in een impact assessment bijzondere aandacht zou zijn besteed.¹³ Voor een zorgvuldige beoordeling van de voorstellen tot wijziging van de AVG zou het van toegevoegde waarde zijn om deze informatie alsnog te krijgen.

De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om – bij het ontbreken van een impact assessment – het kabinet te vragen de Europese Commissie te verzoeken om een nadere motivering van de noodzaak en proportionaliteit van de onderdelen van de Digitale Omnibus die zien op het wijzigen van de AVG.

De tijdelijke commissie adviseert om te verzoeken of in deze nadere motivering in ieder geval kan worden ingegaan op twee deelonderwerpen waaraan volgens de richtsnoeren van de Europese Commissie in een impact assessment bijzondere aandacht zou zijn besteed:

• de verwachte gevolgen voor MKB’ers, in het bijzonder ten aanzien van het beoogde doel om meer rechtszekerheid te bieden;

• de verwachte impact op grondrechten, in het bijzonder ten aanzien van het recht op bescherming van persoonsgegevens.
  

B. Wijziging van de definitie van “persoonsgegevens” (artikel 4, onderdeel 1 van de AVG)

De Digitale Omnibus bevat een voorstel om de definitie van persoonsgegevens in de AVG aan te passen. Het betreft volgens de Commissie een technische wijziging om de wettekst - met het oog op de rechtszekerheid - in lijn te brengen met een recente uitspraak van het Hof van Justitie van de Europese Unie (HvJ-EU).¹⁴ Kort samengevat, wordt voorgesteld om aan de definitie van persoonsgegevens toe te voegen dat gegevens die voor de ene entiteit wel persoonsgegevens zijn, niet noodzakelijkerwijs ook persoonsgegevens voor een andere entiteit hoeven te zijn.¹⁵

De tijdelijke commissie merkt op dat de definitie van persoonsgegevens van fundamenteel belang is omdat deze bepaalt of de AVG – en alle rechten en plichten die daarin zijn opgenomen - van toepassing is. Een wijziging van deze definitie heeft hierdoor gevolgen voor de reikwijdte van het recht op bescherming van persoonsgegevens en de rechten die burgers op basis van de AVG hebben.¹⁶ Een onderbouwing van de noodzaak en proportionaliteit van de voorgestelde definitiewijziging in relatie tot de bescherming van persoonsgegevens op grond van artikel 8 van het Handvest is hierdoor onontbeerlijk om de voorstellen van de Commissie zorgvuldig te kunnen wegen. Op dit moment ontbreekt een dergelijke onderbouwing.

De tijdelijke commissie signaleert dat de voorgestelde wijziging bovendien verder lijkt te gaan dan enkel een (technische) codificatie van jurisprudentie. Ook het kabinet wijst hierop.¹⁷ De EDPB merkt in dit verband op dat de nieuwe definitie van persoonsgegevens in de praktijk juist tot minder rechtszekerheid en een verminderde bescherming van persoonsgegevens kan leiden. Zo wijst de EDPB erop dat de Commissie ervoor kiest om één specifieke uitspraak van het HvJ-EU te codificeren, zonder daarbij in te gaan op de specifieke context van die uitspraak of op andere relevante jurisprudentie. Ook bestaat volgens de EDPB het risico dat organisaties aan de hand van de nieuwe definitie van persoonsgegevens voortaan een kunstmatig onderscheid kunnen aanbrengen in verschillende soorten informatie. Hierdoor kan informatie buiten de definitie van persoonsgegevens – en daarmee buiten de reikwijdte van de AVG - worden gehouden. Voor burgers heeft dit gevolgen voor hun recht op bescherming van persoonsgegevens omdat zij in dat geval hun AVG-rechten verliezen, zoals het recht op inzage of verwijdering. Ook vanuit ondernemerszijde wordt opgemerkt dat – hoewel de definitiewijziging van persoonsgegevens wordt verwelkomd – de voorgestelde wettekst met oog op de rechtszekerheid enige verduidelijking behoeft.¹⁸

In dit licht merkt de tijdelijke commissie op dat uit de door de Commissie aangehaalde jurisprudentie inderdaad volgt dat informatie niet als een persoonsgegeven hoeft te gelden wanneer de desbetreffende houder van die informatie zelf niet over de middelen beschikt om de informatie te relateren aan een identificeerbare persoon, maar dat uit andere jurisprudentie volgt dat dit soms ook wel het geval kan zijn.¹⁹ Hoewel de Commissie met het voorstel beoogt meer rechtszekerheid te bieden, is het – door de keuze om een specifieke uitspraak te codificeren - de vraag of de nieuwe definitie van persoonsgegevens in de praktijk daadwerkelijk tot meer duidelijkheid zal leiden.

De tijdelijke commissie merkt tot slot op dat de voorgestelde definitiewijziging bovendien een aantal aanvullende vragen oproept. Zo bevat de AVG regels voor situaties waarin persoonsgegevens worden gedeeld door verschillende organisaties²⁰ of worden doorgezet naar een andere organisatie binnen of buiten de Europese Unie.²¹ De tijdelijke commissie merkt op dat in de toelichting bij de Digitale Omnibus niet wordt uitgelegd hoe de nieuwe definitie van persoonsgegevens doorwerkt in dergelijke situaties. Hierdoor bestaat de mogelijkheid dat informatie binnen de ene organisatie wel als persoonsgegeven wordt beschouwd en in de andere organisatie niet. Evenmin wordt uitgelegd op welke manier de definitiewijziging doorwerkt in andere (Europese) regelgeving die verwerking van persoonsgegevens mogelijk maakt. Dit geldt bijvoorbeeld op het terrein van politie, justitie en grensbewaking.²² En hoewel er in de toelichting bij het Omnibusvoorstel wordt ingegaan op het bieden van meer duidelijkheid aan ondernemers, wordt niet gereflecteerd op de mogelijke gevolgen van de definitiewijziging voor de publieke sector. Wanneer de Kamer meer inzicht zou hebben in deze punten, wordt het beter mogelijk om de gevolgen van de voorgestelde definitiewijziging te kunnen beoordelen.
De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om het kabinet te vragen de Europese Commissie te verzoeken om een onderbouwing van de noodzaak en proportionaliteit van de voorgestelde definitiewijziging van persoonsgegevens in het licht van het recht op bescherming van persoonsgegevens. De tijdelijke commissie adviseert om hierbij ook aandacht te vragen voor de doorwerking van deze definitiewijziging in de publieke sector en in andere Europese regelgeving op basis waarvan persoonsgegevens worden verwerkt.

Met het oog op de rechtszekerheid adviseert de tijdelijke commissie daarnaast om de Europese Commissie te vragen om – in aanvulling op de jurisprudentie waarop de voorgestelde definitiewijziging is gebaseerd – ook in te gaan op andere relevante Europese jurisprudentie waarin uitleg wordt gegeven aan de definitie van persoonsgegevens.

C. Uitvoeringshandelingen van de Europese Commissie over pseudonieme gegevens (nieuw artikel 41bis van de AVG)
De Digitale Omnibus bevat een nieuwe delegatiemogelijkheid voor de Commissie om uitvoeringshandelingen vast te stellen. In deze uitvoeringshandelingen kunnen middelen en criteria worden vastgesteld om te bepalen wanneer gegevens zodanig zijn gepseudonimiseerd dat zij geen persoonsgegevens meer zijn. Het doel hiervan is het bieden van meer rechtszekerheid: omdat er verschillende technieken bestaan om gegevens te pseudonimiseren, is het voor bedrijven belangrijk om (meer) zekerheid te hebben over wanneer gegevens zodanig zijn gepseudonimiseerd dat zij niet meer kwalificeren als persoonsgegeven.²³ Met name innovatieve start-ups en het MKB zijn hierbij volgens de Commissie gebaat.

In dit verband wijst de tijdelijke commissie erop dat uit de voorgestelde wettekst volgt dat de middelen en criteria die in de uitvoeringshandeling worden vastgesteld een element zijn om aan te tonen dat gegevens niet kunnen leiden tot heridentificatie van personen.²⁴ In de begeleidende stukken bij de Digitale Omnibus wordt echter niet toegelicht welke andere elementen hierbij volgens de Commissie een rol spelen en hoe deze verschillende elementen zich in de praktijk tot elkaar verhouden. Met het oog op het doel van het voorstel – het bieden van meer rechtszekerheid aan met name start-ups en het MKB – merkt de tijdelijke commissie op dat het van toegevoegde waarde zou zijn om meer inzicht te krijgen in de beoogde praktische impact van de uitvoeringshandelingen.

Wat betreft de keuze voor uitvoeringshandelingen, merkt de tijdelijke commissie op dat uit artikel 291 van het Verdrag betreffende de werking van de Europese Unie (VWEU) volgt dat uitvoeringshandelingen bedoeld zijn om administratieve of technische maatregelen te treffen die nodig zijn voor een uniforme uitvoering van Europese regelgeving. De voorgestelde uitvoeringshandelingen over het pseudonimiseren van persoonsgegevens lijken verder te gaan dan dit. Wanneer gegevens niet meer herleidbaar zijn, gelden zij immers niet meer als persoonsgegeven. Dit betekent dat de nieuwe uitvoeringshandelingen raken aan het toepassingsbereik van de AVG en - daarmee in samenhang - aan het recht op bescherming van persoonsgegevens. De tijdelijke commissie wijst er in dit verband op dat nationale parlementen bij de vaststelling van uitvoeringshandelingen door de Commissie minder controlemogelijkheden hebben dan het geval zou zijn bij een gewone Europese wetgevingsprocedure. Ook de EDPB en het kabinet stellen dat een uitvoeringshandeling niet het juiste instrument lijkt te zijn om regels te stellen over pseudonimisering, waarbij het kabinet bovendien wijst op het risico van politieke besluitvorming door de Commissie op een terrein waar dit niet voor de hand ligt.

De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om het kabinet te vragen om de Europese Commissie te verzoeken om een nadere motivering waarom een uitvoeringshandeling over het pseudonimiseren van persoonsgegevens in dit geval het passende instrument wordt geacht in het licht van artikel 291 van het Verdrag betreffende de Werking van de EU, en om daarbij in te gaan op de mogelijke impact van deze uitvoeringshandeling op het toepassingsbereik van de AVG.

Met het oog op de rechtszekerheid adviseert de tijdelijke commissie ook te verzoeken om een verduidelijking van de beoogde praktische impact van de uitvoeringshandeling over het pseudonimiseren van persoonsgegevens, nu ook andere elementen hierbij volgens het voorstel een rol spelen.

D. Een “gerechtvaardigd belang” als grondslag voor de verwerking van persoonsgegevens voor de ontwikkeling en exploitatie van AI (nieuw artikel 88 quater van de AVG)
De Digitale Omnibus bevat een voorstel om in de AVG te verduidelijken dat de verwerking van persoonsgegevens voor de ontwikkeling en exploitatie van AI kan gelden als een gerechtvaardigd belang voor bedrijven en organisaties. Een gerechtvaardigd belang is één van de bestaande grondslagen in de AVG op basis waarvan persoonsgegevens kunnen worden verwerkt.²⁵ Burgers krijgen op hun beurt een onvoorwaardelijk recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens op basis van dit gerechtvaardigde belang. Met dit voorstel beoogt de Commissie meer duidelijkheid te bieden aan bedrijven en de ontwikkeling en het gebruik van AI te stimuleren.²⁶

De tijdelijke commissie merkt in algemene zin op dat de Commissie met dit voorstel lijkt af te wijken van de techniekneutrale en risicogestuurde benadering waarop de AVG is gebaseerd. Uit deze benadering volgt dat niet de gebruikte techniek bepalend is voor de vraag aan welke wettelijke waarborgen een gegevensverwerking moet voldoen, maar de vraag in hoeverre die verwerking een risico voor de rechten van burgers oplevert. Naarmate die risico’s groter zijn, gelden strikere voorwaarden. Hoewel de Europese wetgever ervoor kan kiezen om af te wijken van deze uitgangspunten, zou een dergelijke keuze volgens de tijdelijke commissie zorgvuldig moeten worden onderbouwd. In dit geval lijkt de Commissie meer ruimte te willen bieden aan het gebruik van persoonsgegevens voor AI. Een onderbouwing van de noodzaak en proportionaliteit van dit voorstel - waaronder de vraag of er minder ingrijpende alternatieve beleidsopties voorhanden zijn zoals het vragen om toestemming - ontbreekt echter.²⁷ Ook kan de vraag worden opgeworpen of de verwerking van persoonsgegevens voor de ontwikkeling en exploitatie van AI in de praktijk wellicht niet meer risico’s voor de rechten van burgers met zich brengt dan andere technologieën. In dit kader wijst de tijdelijke commissie erop dat het in de praktijk kan gaan om de verwerking van grote hoeveelheden persoonsgegevens - waaronder foto’s, social media posts en stemopnamen van burgers²⁸ - en dat het complex kan zijn om eenmaal verwerkte gegevens weer uit een AI-systeem te verwijderen wanneer hiertegen bezwaar wordt gemaakt.²⁹

Wat betreft de beoogde doelen – het bieden van meer duidelijkheid aan bedrijven en het stimuleren van de ontwikkeling en het gebruik van AI – merkt de tijdelijke commissie op dat het van toegevoegde waarde zou zijn om meer informatie te hebben over de concrete manier waarop het voorstel in de praktijk aan deze doelen tegemoet komt.

In dit verband wijst de tijdelijke commissie er ten eerste op dat de AVG ook nu al de mogelijkheid biedt om met een beroep op een gerechtvaardigd belang persoonsgegevens te verwerken voor de ontwikkeling en exploitatie van AI.³⁰ Hiervoor moet aan drie cumulatieve voorwaarden worden voldaan: ten eerste moet worden aangetoond dat er sprake is van een gerechtvaardigd belang, ten tweede moet worden beargumenteerd dat de verwerking van persoonsgegevens noodzakelijk is voor de verwezenlijking van dat gerechtvaardigde belang en ten derde moet er een belangenafweging worden uitgevoerd, om te kijken of de rechten van burgers niet zwaarder wegen dan het ingeroepen gerechtvaardigde belang. Met het huidige voorstel lijkt de Commissie wettelijk te willen vastleggen dat aan de eerste voorwaarde – het bestaan van een gerechtvaardigd belang – wordt voldaan wanneer persoonsgegevens worden verwerkt om een AI-systeem te ontwikkelen of exploiteren. Uit de voorgestelde wettekst blijkt echter niet duidelijk wat dit betekent voor de andere twee voorwaarden³¹, of wat het concrete (beoogde) effect is van deze wijziging van de AVG. De EDPB stelt in dit verband dat het voorstel in de praktijk een averechts effect kan hebben en tot onduidelijkheid en een vermindering van de rechtszekerheid kan leiden.³² Ook het kabinet stelt dat dit voorstel verduidelijking behoeft.³³ In dit licht wijst de tijdelijke commissie op het risico dat met deze wetswijziging de suggestie wordt gewekt dat er meer ruimte bestaat voor de verwerking van persoonsgegevens voor AI dan het wettelijk kader feitelijk toelaat.³⁴

Ten tweede merkt de tijdelijke commissie op dat uit de toelichting bij de Digitale Omnibus niet volgt hoe het onvoorwaardelijke recht op bezwaar in de praktijk moet worden toegepast, of hoe dit zich verhoudt tot het recht op bezwaar dat de AVG al kent.³⁵ Vanuit het perspectief van burgers kan bijvoorbeeld de vraag worden gesteld of en hoe zij op de hoogte worden gesteld van de verwerking van hun persoonsgegevens in het kader van AI, zodat zij in de praktijk daadwerkelijk bezwaar kunnen maken. Ook de EDPB wijst hierop en adviseert om in de wettekst op te nemen dat burgers tijdig – voorafgaand aan de verwerking van hun gegevens – moeten worden geïnformeerd over hun recht om hiertegen bezwaar te maken. Daarnaast kan de vraag worden gesteld in hoeverre er in de praktijk daadwerkelijk uitvoering kan worden gegeven aan de onvoorwaardelijke aard van dit recht, omdat het technisch complex kan zijn om persoonsgegevens te verwijderen wanneer zij eenmaal zijn opgenomen in een AI-systeem. Ook vanuit het bedrijfsleven wordt dit opgemerkt en wordt gewezen op het risico dat AI-systemen noodgedwongen opnieuw moeten worden getraind wanneer gegevens worden verwijderd.³⁶

De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om het kabinet te vragen de Europese Commissie te verzoeken om een nadere onderbouwing van de noodzaak en proportionaliteit van het voorstel voor een aanvullende grondslag voor de verwerking van persoonsgegevens voor AI op basis van een gerechtvaardigd belang. Naast het recht op bescherming van persoonsgegevens van burgers, adviseert de tijdelijke commissie om - met het oog op de rechtszekerheid voor ondernemers – daarbij ook in te gaan op de verhouding van deze aanvullende grondslag tot de bestaande vereisten in de AVG voor het verwerken van persoonsgegevens op basis van een gerechtvaardigd belang.

Ook adviseert de tijdelijke commissie om te vragen om een nadere uitleg van de beoogde praktische toepassing van het voorgestelde onvoorwaardelijke recht op bezwaar voor burgers, met inbegrip van de manier waarop burgers worden geïnformeerd over de verwerking van hun persoonsgegevens zodat zij daadwerkelijk gebruik kunnen maken van dit recht.

E. Verwerking van bijzondere persoonsgegevens bij de ontwikkeling en exploitatie van AI (nieuw artikel 9, tweede lid, onder k en vijfde lid van de AVG)
Naast een grondslag voor de verwerking van “reguliere” persoonsgegevens voor AI, bevat de Digitale Omnibus ook een nieuwe grondslag voor het verwerken van bijzondere persoonsgegevens voor AI. Kort samengevat wordt voorgesteld om in de AVG op te nemen dat voor de ontwikkeling en exploitatie van AI-systemen bijzondere persoonsgegevens mogen worden verwerkt, wanneer het verwijderen van die gegevens onevenredig veel moeite zou vergen. Om deze verwerking van bijzondere persoonsgegevens tot een minimum te beperken, moeten er aan de voorkant passende technische en organisatorische maatregelen worden getroffen om zoveel mogelijk te voorkomen dat er bijzondere persoonsgegevens worden verzameld. Wanneer er toch bijzondere persoonsgegevens worden geïdentificeerd en het verwijderen van deze gegevens onevenredig veel moeite vergt, moeten er bovendien maatregelen worden getroffen. Bijvoorbeeld om te voorkomen dat de bijzondere persoonsgegevens door het AI-systeem als resultaat worden getoond. Volgens de Commissie is deze nieuwe grondslag in de AVG nodig om de ontwikkeling en werking van AI niet onevenredig te belemmeren. In dit verband wijst de Commissie erop dat er bij de ontwikkeling van AI grote hoeveelheden gegevens worden verwerkt, met inbegrip van bijzondere persoonsgegevens.

De tijdelijke commissie merkt op dat er vanwege de gevoelige aard strikte voorwaarden gelden voor de verwerking van bijzondere persoonsgegevens.³⁷ Bijzondere persoonsgegevens bevatten bijvoorbeeld informatie over iemands etnische afkomst, gezondheid, geaardheid of politieke voorkeur. In het licht van het recht op bescherming van persoonsgegevens op grond van artikel 8 van het Handvest moeten de noodzaak en proportionaliteit van dit voorstel daarom zorgvuldig worden gemotiveerd, waarbij aandacht moet worden besteed aan de verschillende aanwezige belangen. Uit zowel de wettekst als de toelichting bij de Digitale Omnibus volgt dat de Commissie economische belangen in het voorstel heeft meegewogen: zo beoogt het voorstel te voorkomen dat de ontwikkeling van AI onevenredig wordt belemmerd en dat organisaties en ondernemingen onevenredige inspanningen moeten verrichten om de verwerking van bijzondere persoonsgegevens tegen te gaan. Uit de beschikbare stukken blijkt echter niet duidelijk hoe deze belangen concreet zijn afgewogen tegen het belang dat burgers hebben bij de bescherming van hun (bijzondere) persoonsgegevens. De tijdelijke commissie merkt op dat deze informatie nodig is om de noodzaak en proportionaliteit van het voorstel van de Commissie zorgvuldig te kunnen wegen in het licht van artikel 8 van het Handvest.

Een belangrijk element bij het beoordelen van de noodzaak en proportionaliteit, is de vraag of er in de voorgestelde wettekst duidelijke randvoorwaarden worden gesteld. Ook het kabinet stelt dat het bij de verwerking van bijzondere persoonsgegevens extra belangrijk is dat er goede randvoorwaarden worden gesteld.³⁸ In dit licht wijst de tijdelijke commissie op het advies van de EDPB, waarin concrete suggesties worden gedaan om de voorwaarden waaronder bijzondere persoonsgegevens op basis van het voorstel mogen worden verwerkt, verder te verduidelijken. Zo adviseert de EDPB om te verduidelijken dat de verwerking van bijzondere persoonsgegevens echt een uitzondering zou moeten zijn.³⁹ Ook adviseert de EDPB om in de wettekst vast te leggen dat bijzondere persoonsgegevens die worden verzameld via prompts - de opdracht die een gebruiker aan een AI-systeem geeft – niet onder deze nieuwe grondslag vallen. Tot slot adviseert de EDPB om in de wettekst te expliciteren dat de desbetreffende bijzondere persoonsgegevens door bedrijven niet voor andere doeleinden mogen worden verwerkt, en dat bedrijven zorgvuldig moeten vastleggen waarom het onevenredige moeite zou vergen om bijzondere persoonsgegevens te verwijderen.

De tijdelijke commissie adviseert de commissie voor Digitale Zaken om het kabinet te vragen de Europese Commissie te verzoeken om een nadere motivering van de noodzaak en proportionaliteit van de voorgestelde nieuwe grondslag voor het verwerken van bijzondere persoonsgegevens voor de ontwikkeling en exploitatie van AI-systemen, en daarbij in het bijzonder in te gaan op de vraag hoe het recht op bescherming van persoonsgegevens van burgers in het voorstel is meegewogen. Ook adviseert de tijdelijke commissie om hierbij in te gaan op het advies van de European Data Protection Board om het voorstel op een aantal punten te verduidelijken en aan te scherpen.

F. Wijziging van AVG-rechten burgers (artikel 12, vijfde lid en artikel 13, vierde lid van de AVG)
De AVG kent verschillende rechten aan burgers toe, zoals het recht om persoonsgegevens aan te (laten) passen of te verwijderen. In de Digitale Omnibus wordt voorgesteld om twee van deze rechten aan te passen: het inzagerecht en het recht op informatie.

Het inzagerecht regelt dat burgers het recht hebben om uitsluitsel te krijgen over de vraag of hun persoonsgegevens worden verwerkt en, wanneer dat het geval is, die gegevens in te zien. De achterliggende gedachte hiervan is dat burgers op deze manier kunnen controleren of de verwerking van hun persoonsgegevens juist en rechtmatig is. Om misbruik te voorkomen, mogen organisaties inzageverzoeken weigeren wanneer deze kennelijk ongegrond of buitensporig zijn. Ook mogen zij ervoor kiezen in dergelijke gevallen een vergoeding te vragen. In de Digitale Omnibus wordt voorgesteld om de bewijslast voor dergelijke situaties te verlagen, zodat het voor organisaties voortaan voldoende is aan te tonen dat er redelijke gronden zijn om aan te nemen dat een verzoek ongegrond of buitensporig is. Ook wordt voorgesteld dat het inzagerecht voortaan alleen kan worden gebruikt met het oog op de bescherming van persoonsgegevens, en niet voor andere doeleinden. Met deze wijzigingen wil de Commissie misbruik en te ruime of ongedifferentieerde inzageverzoeken tegengaan.⁴⁰ Het achterliggende doel hiervan is het verminderen van uitvoeringslasten en het bieden van meer duidelijkheid aan organisaties.⁴¹

Uit het recht op informatie volgt dat organisaties burgers bij aanvang van de verwerking van persoonsgegevens informatie moeten verschaffen over bijvoorbeeld het doel waarvoor die gegevensverwerking plaatsvindt.⁴² In de praktijk wordt deze informatie meestal verschaft via een algemene privacyverklaring. De AVG regelt momenteel dat deze informatie niet hoeft te worden gegeven wanneer een burger hier al over beschikt. In de Digitale Omnibus wordt voorgesteld om nader invulling te geven aan deze uitzondering. Zo worden er twee situaties toegevoegd waarin de desbetreffende informatie niet hoeft te worden verstrekt: wanneer er sprake is van een duidelijke en afgebakende relatie tussen de burger en de organisatie die de persoonsgegevens verwerkt en wanneer het gaat om een niet-gegevensintensieve activiteit. Op deze situaties zijn vervolgens uitzonderingen mogelijk, waarin er wél informatie moet worden verschaft. Het gaat dan bijvoorbeeld om de situatie waarin gegevens worden gedeeld met een andere organisatie, of wanneer gegevens buiten de EU worden gedeeld of opgeslagen. Het achterliggende doel van deze wijziging is verduidelijking en lastenverlichting, in het bijzonder voor eenmanszaken en sportclubs.⁴³

De tijdelijke commissie merkt op dat de AVG-rechten burgers helpen bij het houden van de regie over de verwerking van hun persoonsgegevens. Hoewel aanpassing van deze rechten een legitiem doel kan dienen – zoals het tegengaan van misbruik, het bieden van verduidelijking en het verminderen van de regeldruk - moeten deze wijzigingen zorgvuldig worden onderbouwd, in het bijzonder in het licht van het recht op bescherming van persoonsgegevens in artikel 8 van het Handvest.

Wat betreft de aanpassing van het inzagerecht wijst de tijdelijke commissie erop dat informatie ontbreekt over de vraag in hoeverre er in de praktijk misbruik wordt gemaakt van dit recht, waardoor aanscherping van het wettelijk kader noodzakelijk is. Hierbij kan worden opgemerkt dat het voor burgers in de praktijk complex kan zijn om een duidelijk afgebakend inzageverzoek te doen, wanneer zij op voorhand niet weten of en welke persoonsgegevens er precies worden verwerkt.⁴⁴ Ook merkt de tijdelijke commissie op dat het inzagerecht momenteel ook voor andere doeleinden kan worden gebruikt dan de bescherming van persoonsgegevens, zoals voor journalistieke doeleinden. In dit kader wijst de tijdelijke commissie op het advies van de EDPB, waarin uiteen wordt gezet dat de voorgestelde beperking van het inzagerecht tot enkel het doeleinde van bescherming van persoonsgegevens op gespannen voet staat met artikel 1 van de AVG en jurisprudentie van het HvJ-EU.⁴⁵ Hieruit volgt dat inzageverzoeken ook mogen worden gedaan ter invulling van andere (fundamentele) rechten en vrijheden.

Wat betreft het recht op informatie merkt de tijdelijke commissie op dat de voorgestelde wettekst tot een vrij complexe regeling leidt, terwijl het doel ervan is om de regels (juist) voor kleine ondernemingen en sportclubs te versimpelen. In dit licht wijst de tijdelijke commissie op het advies van de EDPB, waarin wordt voorgesteld om het voorstel op een aantal punten te verduidelijken, om zo te voorkomen dat er uiteenlopende interpretaties ontstaan en ervoor te zorgen dat het voorstel daadwerkelijk tot lastenverlichting leidt. Het gaat dan bijvoorbeeld om een uitleg van wat concreet moet worden verstaan onder een duidelijke en afgebakende relatie of een niet-gegevensintensieve activiteit.

Tot slot merkt de tijdelijke commissie op dat het – vanuit het perspectief van het recht op bescherming van persoonsgegevens van burgers – van toegevoegde waarde zou zijn om meer inzicht te hebben in de verwachte cumulatieve impact van de voorgestelde aanpassing van het inzagerecht en het recht op informatie. Op die manier kan beter worden ingeschat of de wijziging van de informatievoorziening enerzijds en de wijziging van het inzagerecht anderzijds in de praktijk geen onvoorziene of onevenredige gevolgen heeft voor burgers.

De tijdelijke commissie adviseert de vaste commissie voor Digitale Zaken om het kabinet te vragen de Europese Commissie te verzoeken inzicht te geven in hoeverre er in de praktijk sprake is van misbruik van het inzagerecht waardoor wijziging noodzakelijk is. Daarbij adviseert de tijdelijke commissie om te vragen om een reflectie op de verwachte impact van de beperking van het inzagerecht op de uitoefening van andere fundamentele rechten en vrijheden, zoals het gebruik van het inzagerecht voor journalistieke doeleinden.

Met het oog op de rechtszekerheid – met name voor MKB’ers - adviseert de tijdelijke commissie daarnaast te verzoeken of de voorgestelde wijziging van het recht op informatie kan worden verduidelijkt.

Ook adviseert de tijdelijke commissie te verzoeken inzicht te geven in de verwachte cumulatieve impact van de voorgestelde wijziging van het inzagerecht en het recht op informatie op het recht op bescherming van persoonsgegevens van burgers.

De hiervoor genoemde punten kunnen betrokken worden bij de verdere behandeling van het voorstel.

De voorzitter van de tijdelijke commissie Grondrechten en Constitutionele toetsing,
Bushoff

De griffier van de tijdelijke commissie Grondrechten en Constitutionele toetsing,
Kling

---

1. Voorstel voor een Verordening van het Europees Parlement en de Raad tot wijziging tot wijziging van Verordeningen (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725 en (EU) 2023/2854 en Richtlijnen 2002/58/EC, (EU) 2022/2555 en (EU) 2022/2557 wat betreft de vereenvoudiging van het digitale wetgevingskader en tot intrekking van de Verordeningen (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 en Richtlijn (EU) 2019/1024 (digitale omnibus)↩︎

2. Zie in dit kader het rapport-Draghi (Draghi, M. (2024), “The future of European competitiveness”), alsmede het rapport-Letta (Letta, E. (2024), “Much more than a market”).↩︎

3. Rapport-Wennink, “De route naar toekomstige welvaart. Een sterk Nederland in een sterk Europa” (12 december 2025).↩︎

4. Zie in dit kader onder meer de motie-Yesilgöz-Zegerius en Bontenbal over het rigoureus aanpakken van de regeldruk. Kamerstukken II 2025-2026 36800, nr. 16.↩︎

5. Patricia Popelier, Rechtszekerheid als beginsel voor behoorlijke regelgeving, p. 130, 161 en 176.↩︎

6. Zie in dit kader onder meer de kernindicatoren van het Nederlandse bedrijvenbeleid, zoals bijgehouden door het Ministerie van Economische Zaken en Klimaat: https://www.bedrijvenbeleidinbeeld.nl/kernindicatoren.↩︎

7. Gezien de voortgang van de Europese wetgevingsprocedure is een kanttekening bij deze laatste optie dat de Europese Commissie dergelijke verzoeken doorgaans binnen drie maanden beantwoordt.↩︎

8. Artikel 1 van de AVG.↩︎

9. De tijdelijke commissie wijst in dit verband ook op een aanbeveling van de Europese Ombudsman, waarin de Commissie wordt opgeroepen een keuze voor een Omnibusvoorstel zorgvuldig te motiveren: Recommendation on the European Commission’s compliance with ‘Better Regulation’ rules and other procedural requirements in preparing legislative proposals that it considered to be urgent (983/2025/MAS - the “Omnibus” case, 2031/2024/VB - the “migration” case, and 1379/2024/MIK - the “CAP” case).↩︎

10. De EDPB is het samenwerkingsverband van alle nationale privacytoezichthouders uit de Europese lidstaten – waaronder namens Nederland de Autoriteit Persoonsgegevens (AP) - en de European Data Protection Supervisor (EDPS). De voornaamste taak van de EDPB is ervoor zorgen dat de AVG in de gehele EU op een coherente manier wordt uitgelegd en toegepast, om zo de bescherming van persoonsgegevens te waarborgen, rechtszekerheid te bieden en het vrij verkeer van persoonsgegevens te stimuleren. In dit kader heeft de EDPB onder meer een adviserende rol bij wetgevende voorstellen van de Commissie. De EDPB heeft een dergelijk advies gegeven over de Digitale Omnibus.↩︎

11. Kamerstukken II 2025-2026, 22112, nr. 4223 (BNC-fiche), p. 6.↩︎

12. Toelichting bij de Digitale Omnibus, p. 1 en 7.↩︎

13. European Commission, Better Regulation Guidelines, SWD(2021) 305 final, 3 November 2021, p. 35.↩︎

14. HvJ-EU 4 september 2025, C-413/23.↩︎

15. Zo moet er volgens de Commissie worden gekeken of een entiteit kan identificeren op welke persoon de informatie betrekking heeft, waarbij rekening moet worden gehouden met de middelen die deze entiteit hiervoor redelijkerwijs zou kunnen gebruiken. Informatie zou bovendien niet (alsnog) persoonlijk moeten worden voor een entiteit wanneer een potentiële latere ontvanger wél in staat is te identificeren op welke persoon de informatie betrekking heeft.↩︎

16. De AVG spreekt niet van burgers en bedrijven of organisaties, maar van betrokkenen en verwerkingsverantwoordelijken. Met oog op de toegankelijkheid wordt in dit advies (ook) gesproken van burgers en organisaties of bedrijven.↩︎

17. Kamerstukken II 2025-2026, 22112, nr. 4223 (BNC-fiche), p. 7.↩︎

18. VNO-NCW en MKB Nederland, Position Paper on Digital Omnibus and Omnibus on AI.↩︎

19. Zie in dit kader bijvoorbeeld zaak C-319/22 (Gesamtverband Autoteile-Handel), waaruit volgt dat gegevens die op zich onpersoonlijk zijn, een „persoonlijk” karakter verkrijgen wanneer de verwerkingsverantwoordelijke ze ter beschikking stelt aan andere personen die beschikken over middelen waarvan redelijkerwijs te verwachten valt dat de betrokkene daarmee kan worden geïdentificeerd. Ook zaak C-582/14 (Breyer) en zaak C-604/22 (IAB Europe) kunnen in dit kader van belang zijn.↩︎

20. Zo kan er in dergelijke gevallen sprake zijn van een “gezamenlijke verantwoordelijkheid”.↩︎

21. Het gaat dan bijvoorbeeld om internationale doorgiften – waarvoor specifieke regels gelden – of om de verhouding tussen een zogenaamde “verantwoordelijke” en een “verwerker”, die in opdracht van de verantwoordelijke persoonsgegevens verwerkt.↩︎

22. Uit overweging 43 van de Digitale Omnibus wordt in dit verband genoemd dat de Richtlijn voor het verwerken van persoonsgegevens door politie en justitie “zo snel mogelijk” moet worden aangepast in lijn met de wijzigingen die nu worden voorgesteld in de Digitale Omnibus.↩︎

23. Commission Staff Working Document bij de Digitale Omnibus, par. 1.2.2.2.↩︎

24. Zie het voorgestelde nieuwe artikel 41bis, derde lid van de AVG in het voorstel voor een Digitale Omnibus.↩︎

25. Zie artikel 6, eerste lid van de AVG. Andere grondslagen zijn bijvoorbeeld toestemming, of een wettelijke basis.↩︎

26. Zie overweging 30 bij de Digitale Omnibus en par. 1.2.2.4 van het Commission Staff Working Document.↩︎

27. Opmerking verdient dat lidstaten op basis van de voorgestelde wettekst de mogelijkheid lijken te hebben om op nationaal niveau wettelijk te regelen dat toestemming voor de verwerking van persoonsgegevens (alsnog) vereist is.↩︎

28. Meijers Committee Comment on the Digital Omnibus (CM2604), 13 februari 2026, par. 4.↩︎

29. EDPB-EDPS Joint Opinion 2/2026 On the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus), 10 February 2026, par. 42.↩︎

30. Dit is ook bevestigd door de EDPB in Opinion 28/2024 On certain data protection aspects related to the processing of personal data in the context of AI models, 17 December 2024, section 3.3.↩︎

31. Deze voorwaarden volgen uit artikel 6, eerste lid, onder f van de AVG. Zie in dit kader ook overweging 30 en 31 bij het voorstel van de Commissie, waarin wordt onderstreept dat het nieuwe wetsartikel geen afbreuk doet “aan de verplichting om ervoor te zorgen dat aan alle andere voorwaarden van artikel 6, lid 1, punt f , (…) wordt voldaan”↩︎

32. EDPB-EDPS Joint Opinion 2/2026 On the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus), 10 February 2026, par. 41.↩︎

33. Zo roept het kabinet de vraag op of er op basis van het voorstel van de Commissie nog een noodzakelijkheidstoets moet worden uitgevoerd. Zie: Kamerstukken II 2025-2026, 22112, nr. 4223 (BNC-fiche), p. 7.↩︎

34. Zie in dit kader Meijers Committee Comment on the Digital Omnibus (CM2604), 13 februari 2026, par. 4 en het Position Paper van de AP over de Omnibus Digitaal en de Omnibus AI, p. 4.↩︎

35. Het gaat dan om artikel 21 van de AVG.↩︎

36. VNO-NCW en MKB Nederland, Position Paper Digital Omnibus and Omnibus on AI.↩︎

37. Zie in dit kader artikel 9 van de AVG.↩︎

38. Kamerstukken II 2025-2026, 22112, nr. 4223 (BNC-fiche), p. 7.↩︎

39. Zo zou het alleen moeten gaan om bijzondere persoonsgegevens die “incidenteel en residueel” aanwezig zijn in datasets nadat aan de voorkant passende maatregelen zijn genomen om verzameling zoveel mogelijk te voorkomen, en het onevenredige inspanningen zou kosten om die gegevens alsnog te verwijderen. Dit volgt volgens de EDPB weliswaar uit de overwegingen bij de Digitale Omnibus, maar is niet opgenomen in de wettekst zelf.↩︎

40. Zie in dit kader overweging 35 bij de Digitale Omnibus.↩︎

41. Commissie Staff Working Document bij de Digitale Omnibus, par. 1.2.2.5.↩︎

42. De AVG spreekt in dit geval van de plicht die rust op organisaties om bepaalde informatie te verstrekken.↩︎

43. Commissie Staff Working Document bij de Digitale Omnibus, par. 1.2.2.6.↩︎

44. Meijers Committee Comment on the Digital Omnibus (CM2604), 13 februari 2026, par. 4.↩︎

45. Hieruit volgt dat inzageverzoeken ook mogen worden gedaan ter invulling van andere (fundamentele) rechten en vrijheden. C-307/22, par. 38 en 43.↩︎