Datum publicatie	Organisatie	Vergaderjaar	Dossier- en ondernummer
13-03-2026 16:27	Eerste Kamer der Staten-Generaal	2025-2026	36890 nr. J

36 890 Digitaal pakket van de Europese Commissie COM(2025)835, COM(2025)836, COM(2025)837, COM(2025)838

J VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 13 maart 2026

De vaste commissies voor Digitalisering1 en Economische Zaken & Klimaat en Groene Groei2 hebben schriftelijk overleg gevoerd met de Staatssecretaris van Economische Zaken – Digitale Economie en Soevereiniteit over de Omnibus Digitaal, Omnibus AI en Data Unie Strategie. Bijgaand brengen de commissies hiervan verslag uit. Dit verslag bestaat uit:

– De uitgaande brief van 24 februari 2026.
– De antwoordbrief van 13 maart 2026.

De griffier voor dit verslag, Van Dooren

BRIEF VAN DE VOORZITTERS VAN DE VASTE COMMISSIES VOOR DIGITALISERING EN VOOR ECONOMISCHE ZAKEN & KLIMAAT EN GROENE GROEI

Aan de Staatssecretaris van Economische Zaken – Digitale Economie en Soevereiniteit

Den Haag, 24 februari 2026

De vaste commissies voor Digitalisering en Economische Zaken & Klimaat en Groene Groei hebben met belangstelling kennisgenomen van de voorstellen van de Europese Commissie: Omnibus Digitaal (COM(2025)837), Omnibus AI (COM(2025)836) en de Data Unie Strategie (COM(2025)835). Naar aanleiding van deze voorstellen en de hierbij horende BNC-fiches wensen de leden van de fracties van GroenLinks-PvdA, BBB, D66, mede namens de leden van de fractie van de PvdD, PVV, Volt en fractie-Van de Sanden enkele vragen te stellen aan u.

1. Vragen van de leden van de fractie van GroenLinks-PvdA

De leden van de fractie van GroenLinks-PvdA hebben kennisgenomen van het BNC-fiche voor de Omnibus Digitaal en de Omnibus AI en het BNC-fiche voor de Data Unie Strategie. Zij delen de zorgen van de regering over de voorliggende voorstellen. Deze leden hebben hierover enkele vragen en opmerkingen.

a. Algemene vragen

De leden van de fractie van GroenLinks-PvdA merken op dat er geen integrale impact assessment is gemaakt van Omnibus Digitaal, de Omnibus AI en de Data Unie Strategie. Dat vinden deze leden zeer zorgelijk. In het BNC-fiche lezen deze leden dat ook de regering hier zorgen over heeft. De leden merken op dat een impact assessment vereist is voor Europese voorstellen die mogelijk significante economische, ecologische of sociale gevolgen hebben. Dit geldt voor zowel wetgevingsvoorstellen (richtlijnen/verordeningen) als belangrijke niet-wetgevingsinitiatieven (zoals mededelingen of actieplannen). Een impact assessment is onderdeel van de agenda «Better Regulation» (betere regelgeving) van de Europese Commissie.

1. Deelt u de conclusie van deze leden dat een integrale impact assessment een verplicht onderdeel is? Zo nee, waarom niet? Zo ja, wat betekent deze verplichting voor de kabinetsinzet? Is dit een harde voorwaarde om te kunnen starten met de onderhandelingen en/of in te kunnen stemmen met de voorstellen? Deze leden ontvangen graag een toelichting.

De leden van de fractie van GroenLinks-PvdA merken op dat als de Europese Commissie bij een voorstel voor een verordening geen impact assessment maakt, lidstaten en andere actoren verschillende politieke en juridische mogelijkheden hebben om de Europese Commissie hiertoe aan te sporen. Verordeningen zijn rechtstreeks van toepassing in lidstaten en hebben dus directe werking, waardoor actie tijdens het wetgevingsproces cruciaal is.

2. Welke mogelijkheden ziet u om tijdig een integrale impact assessment beschikbaar te krijgen? Deze leden ontvangen hier graag een volledige opsomming van.
3. Welke mogelijkheden bent u voornemens om in te zetten?
4. Ziet u kansen om hierbij allianties met andere landen te vormen? Deze leden ontvangen graag een toelichting.
5. Ziet u kansen om hierbij een beroep te doen op het Interinstitutioneel Akkoord Beter Wetgeven? Deze leden ontvangen graag een toelichting.
6. Hoe verhouden de Data Unie strategie, de Omnibus Digitaal en de Omnibus AI zich tot de doelstellingen van de Nationale Digitalisering Strategie? Deze leden ontvangen graag een toelichting.
7. Welke wet- en regelgeving wordt door deze aanpassingen geraakt, direct dan wel indirect? Worden de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens bijvoorbeeld geraakt?
8. Welke uitvoeringsorganisaties worden geraakt door deze aanpassingen? Deze leden ontvangen graag een toelichting.
9. Zijn deze uitvoeringsorganisaties geconsulteerd over de effecten die zijn voorzien voor de eigen organisatie en de gebruikers (burgers en bedrijven), en wat was hun visie/oordeel? Deze leden ontvangen graag een toelichting per uitvoeringsorganisatie.

De leden van de fractie van GroenLinks-PvdA merken op dat de geopolitieke situatie aan grote veranderingen onderhevig is. In de huidige geopolitieke situatie is Nederlandse/Europese (digitale) autonomie een belangrijk speerpunt. Een agenda van deregulering, zoals de Omnibussen, met het oog op de vrije digitale markt, is in het voordeel van de grote (Amerikaanse) techbedrijven, zo menen de leden van de fractie van GroenLinks-PvdA. Wellicht vraagt de huidige situatie juist een tegengestelde beweging, namelijk van gerichtere (digitale) regulering in plaats van deregulering.

10. Hoe beoordeelt u de Omnibus Digitaal, de Omnibus AI en de Data Unie Strategie in de huidige geopolitieke situatie? Deze leden ontvangen graag een toelichting.

b. Grondrechten in het geding

De leden van de fractie van GroenLinks-PvdA merken op dat het College voor de Rechten van de Mens is vastgesteld als grondrechtenautoriteit Artificiële Intelligentie (AI) in Nederland.3 De Omnibus Digitaal vormt volgens het College «een zorgwekkende ontwikkeling voor de bescherming van grondrechten, zoals het recht op non-discriminatie en gegevensbescherming».4

11. Kunt u een inhoudelijke reactie geven op deze uitspraak van het College voor de Rechten van de Mens?
12. Kunt u een overzicht geven van alle potentiële aantastingen van grondrechten (uit de Nederlandse Grondwet en Europese wetgeving) die in het geding zijn? Kunt u deze uiteenzetting duidelijk relateren aan de voorgestelde wijzigingen? Deze leden verzoeken u hierbij speciale aandacht te besteden aan artikel 8 van het Handvest van de grondrechten van de Europese Unie.

c. Ondernemingsklimaat

De leden van de fractie van GroenLinks-PvdA merken op dat er niet één allesomvattend optimaal ondernemingsklimaat bestaat dat voor alle typen bedrijven even gunstig is.

13. Ziet u een spanningsveld tussen de belangen van het Midden- en Kleinbedrijf (MKB) in Nederland en Europa enerzijds en grote (Amerikaanse) techbedrijven anderzijds in deze voorstellen? In hoeverre worden grote spelers bevoordeeld ten opzichte van het MKB? Deze leden ontvangen graag een toelichting.
14. Bent u van mening dat de Digitale Omnibus, de Omnibus AI en de Data Unie Strategie eerlijke concurrentie waarborgen? Of wordt er een rode loper uitgelegd voor de verdienmodellen van grote (Amerikaanse) techbedrijven ten koste van de privacy? Deze leden ontvangen graag een toelichting.
15. Ziet u mogelijk nog andere effecten die voor verschillende groepen ondernemers anders uitwerken? Deze leden ontvangen graag een toelichting.
16. European Digital Rights (EDRi) stelt dat de «vereenvoudiging» nieuwe complexiteit introduceert en dat grote bedrijven de juridische afdelingen hebben om deze mazen in de wet op te zoeken, terwijl het MKB in onzekerheid achterblijft.5 Kunt u hierop reflecteren?

De leden van de fractie van GroenLinks-PvdA lezen dat grote techbedrijven ruim 150 miljoen per jaar uitgeven aan de lobby voor hun belangen in Europa.6

17. Heeft u zicht op deze lobby? Hoe beoordeelt u de invloed van deze lobby, waarbij vertraging, versoepeling en herformulering een belangrijke rol speelt bij de totstandkoming van de voorstellen? Deze leden ontvangen graag een toelichting.

De leden van de fractie van GroenLinks-PvdA lezen dat Corporate Europe Observatory de invloed van de lobby van grote (Amerikaanse) techbedrijven op verschillende artikelen van de Omnibus Digitaal heeft geanalyseerd.7

18. Kunt u reflecteren op de analyse van Corporate Europe Observatory?
19. In het kader van transparantie is het belangrijk om ook zicht te hebben op de lobby in Nederland. Welke contacten heeft de Nederlandse regering en/of de ambtelijke ondersteuning gehad met lobbyisten van techbedrijven om de standpunten te bepalen? Deze leden ontvangen graag een toelichting.

d. Wijzigingen bevoegdheden

De leden van de fractie van GroenLinks-PvdA wijzen erop dat de in de Omnibus Digitaal voorgestelde bevoegdheden voor de Europese Commissie om op grond van de AVG een aantal uitvoeringshandelingen vast te stellen, leidt tot een verschuiving van bevoegdheden van de onafhankelijke toezichthouders en de EDPB naar de Europese Commissie. Het betreft bevoegdheden voor de Europese Commissie om standaarden voor datalekmeldingen en omschrijving van hoog risico gevallen voor datalekken vast te stellen (art. 3, lid 8, sub c), om uitvoeringshandelingen vast te stellen over de gevallen waarin Data Protection Impact Assessments (DPIA’s) verplicht zijn (art. 3, lid 9, sub b) en om uitvoeringshandelingen vast te stellen om criteria en middelen te omschrijven om zo te bepalen wanneer er geen sprake meer is van persoonsgegevens bij pseudonimisering (art. 3, lid 10). In het BNC-fiche lezen deze leden dat de regering «hier een risico ziet van meer politieke besluitvorming, wat niet vanzelfsprekend past bij een verordening die mede strekt tot grondrechtenbescherming».8 Deze leden zien dit risico ook en vinden dit een zeer onwenselijke ontwikkeling.

Deze leden lezen voorts in het BNC-fiche dat het toekennen van de bevoegdheid van artikel 3, lid 10 van het voorstel aan de Europese Commissie «niet mogelijk» is volgens de regering. Omdat deze uitvoeringshandelingen die de Commissie op basis van dit artikel zou kunnen vaststellen betrekking hebben op de definitie van persoonsgegevens (artikel 41a), betreft dit een essentieel onderdeel van de basishandeling, dat zich «niet leent» voor uitwerking in uitvoeringshandelingen, aldus de regering. Dergelijke uitvoeringshandelingen zouden bovendien mogelijk betrekking hebben op de reikwijdte van het grondrecht op bescherming van persoonsgegevens. De AVG is immers een uitwerking van het recht op gegevensbescherming.

Daarnaast krijgt de Europese Commissie in artikel 1, lid 25, sub c, van het voorstel de bevoegdheid om uitvoeringshandelingen vast te stellen waarin handhavingsbevoegdheden van de Europese Commissie worden bepaald, waaronder het opleggen van boetes en andere sancties (wijziging van artikel 75 van de AI-verordening). Ook het toekennen van deze bevoegdheid om handhavingsbevoegdheden vast te stellen is «niet mogelijk» volgens de regering. De regering acht het toekennen van handhavingsbevoegdheden aan de Europese Commissie, waarbij een evenwicht moet worden gevonden tussen de uiteenlopende belangen die aan de orde zijn, «niet acceptabel».

20. Er worden in het BNC-fiche verschillende termen gebruikt om de wijziging van de bevoegdheden van de Europese Commissie te duiden, waaronder «niet leent», «niet acceptabel» en «niet mogelijk». Kunt u een preciezer juridisch oordeel geven over alle voorgestelde wijzigingen van de bevoegdheden? Deze leden ontvangen daarbij graag per wijziging van bevoegdheid een afzonderlijk oordeel, evenals een nadere juridische duiding van het mogelijk effect op de reikwijdte van het recht op bescherming van persoonsgegevens.
21. Wat is uw strategie om dit onderdeel van de Omnibus Digitaal aangepast te krijgen?
22. Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?
23. Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal?

e. Nationale veiligheid

In het BNC-fiche wordt benadrukt dat «nationale meldstructuren, waarbij lidstaten de directe en primaire ontvanger van incidentinformatie blijven, behouden moeten blijven».9 Ook staat in het BNC-fiche dat de regering daarnaast zorgen heeft «omtrent beveiligingsrisico’s als het gaat om het centraliseren van dergelijke meldplichten binnen één meldpunt. Het verwerken van zeer gevoelige meldingen, en in het bijzonder incidentinformatie van 27 lidstaten is namelijk erg kwetsbaar en een zaak van nationale veiligheid. Daarbij ziet het kabinet ook risico’s ten aanzien van de afhankelijkheid van de continuïteit van een platform dat op EU-niveau wordt beheerd».10

24. Kunt u nader toelichten welke kwetsbaarheden in het kader van de (nationale) veiligheid voorzien worden?
25. Wat is uw strategie om dit onderdeel van de Omnibus Digitaal aangepast te krijgen?
26. Hoe ligt het Europese krachtenveld rondom deze aanpassingen?
27. Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal?

In het kader van de proportionaliteitsbeoordeling lezen deze leden in het BNC-fiche dat de regering vraagtekens heeft over de proportionaliteit van de voorstellen ten aanzien van een Europees meldpunt: «De tweede kanttekening is dat het kabinet zorgen heeft ten aanzien van de inrichting van een Europees meldpunt. Volgens het kabinet is door de Commissie onvoldoende inzichtelijk gemaakt of een Europees meldpunt daadwerkelijk zal zorgen voor lastenverlichting en simplificatie, in het bijzonder waar het gaat om niet-grensoverschrijdende entiteiten. Ook is onvoldoende duidelijk wat de omvang is van de groep entiteiten die wel voordeel zouden kunnen hebben bij een Europees meldpunt, namelijk de grensoverschrijdende entiteiten en/of (grensoverschrijdende) entiteiten die rapportageverplichtingen hebben die onder meerdere wetgevingskaders vallen, bijvoorbeeld AVG én NIS2-richtlijn. Om die reden heeft het kabinet twijfels over de geschiktheid van deze maatregel in het licht van het doel om regeldruk te verlagen».11

28. Is er inmiddels meer helderheid over de geconstateerde onduidelijkheden?
29. Heeft u een nader oordeel over de proportionaliteit van dit onderdeel?

f. Uitstellen verplichtingen met betrekking tot hoog risico AI-systemen

De EDPB en de EDPS hebben in een gezamenlijke opinie over de Omnibus AI gepleit om de verplichtingen volgens de oorspronkelijke planning in te laten gaan.12 De leden van de fractie van GroenLinks-PvdA maken zich, gezien de razendsnelle ontwikkelingen van AI-systemen, zorgen over het uitstellen van de verplichtingen met betrekking tot hoog risico AI-systemen. Met deze voorstellen worden verplichtingen met respectievelijk zestien maanden en twaalf maanden vertraagd, waarbij de inwerkingtreding wordt gekoppeld aan een Commissiebesluit.

30. Hoe oordeelt u over dit advies van de EDPB en de EDPS? Deze leden ontvangen graag een toelichting.
31. Deelt u de zorgen van deze leden? Zo nee, waarom niet?
32. Kunt u een inschatting maken van de mogelijke effecten, waaronder op ondernemers die door deze aanpassing geen vaste invoeringsdatum kennen?
33. Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?
34. Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus AI?

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven.

35. Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Deze leden horen veel zorgen over de zogenaamde AI-gedreven «nudifier» tools.

36. Deelt u deze zorgen? Zo nee, waarom niet?
37. Is de regering bereid om in Europa te pleiten voor een verbod op deze tools, bijvoorbeeld in artikel 5 van de AI-verordening?

g. Schrappen registratieplicht hoog risico AI-systemen

De EDPB en de EDPS hebben in een gezamenlijke opinie over de Omnibus AI gepleit om de voorgenomen aanpassingen van de registratieplicht van hoog risico AI-systemen niet door te voeren omdat dit transparantie en toezicht ondermijnt en misbruik in de hand kan werken.13

In het BNC-fiche lezen deze leden dat de regering bezwaren heeft «tegen het schrappen van de registratieplicht voor hoog-risico AI die alleen voor beperkte of procedurele taken worden gebruikt. Dit de transparantie verlaagt over het gebruik van AI-systemen in hoog risico context en bemoeilijkt het toezicht op deze systemen. Bovendien levert deze maatregel slechts een beperkte verlichting van regeldruk op».14

39. Hoe oordeelt u over het advies van de EDPB en de EDPS? Deze leden ontvangen graag een toelichting.
40. Wat is uw proportionaliteitsoordeel op dit onderdeel?
41. Kunt u een nadere toelichting geven op de wijze waarop het toezicht bemoeilijkt wordt en wat de gevolgen daarvan kunnen zijn?
42. Wat is uw strategie om dit onderdeel van de Digitale Omnibussen aangepast te krijgen?
43. Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?
44. Is aanpassing van dit onderdeel een harde randvoorwaarde voor u om in te kunnen stemmen met de Omnibus AI?

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven.

45. Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

h. Rol van Europese en nationale toezichthouders

De leden van de fractie van GroenLinks-PvdA merken op dat het belangrijk is om een goed niveau van toezicht te borgen. De EDPB en EDPS uiten zorgen over de positie van de nationale toezichthouders (o.a. verlies bevoegdheden en onafhankelijkheid) en de taakafbakening van en de samenwerking met het AI-bureau.15 Ook zijn er grote zorgen over het gebrek aan capaciteit bij zowel de nationale toezichthouders als het AI-bureau om duizenden bedrijven te controleren op wat er «onder de motorkap» van een AI-systeem gebeurt.

46. Hoe oordeelt u over de zorgen van de EDPB en EDPS? Deze leden ontvangen graag een toelichting.
47. Wat is volgens u nodig aan capaciteit (nationaal en Europees) om de toezichthoudende taak goed uit te voeren? Deze leden ontvangen graag een toelichting.
48. Is goed toezicht een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal en de Omnibus AI?

In het BNC-fiche lezen deze leden dat de regering de gevolgen voor de handhaafbaarheid onderzoekt, maar niet verwacht dat de voorstellen tot significante nieuwe uitdagingen met betrekking tot de uitvoering van de onderliggende Europese wetten leidt omdat de voorstellen beogen de wetgeving te versimpelen.

In het BNC-fiche lezen deze leden verder: «Het voorstel zal implicaties hebben voor het toezicht op verschillende Europese regelgeving, dat nationaal is ingericht. Naar verwachting kunnen die taken worden ondergebracht bij de toezichthouders die nu al op deze Europese regelgeving toezien. Daarbij wordt gezocht naar de meest doeltreffende en doelmatige oplossing. Of de aanpassingen de kosten voor het toezicht en de handhaving zullen verhogen of verlagen is nog niet duidelijk. Het voorstel bevat ook enkele bepalingen die de AVG wijzigen en er mogelijk voor zullen zorgen dat er meer meldingen ontstaan bij de toezichthoudende autoriteit en de rechtspraak. Het kabinet verwacht niet dat er een omvangrijke verhoging in kosten van toezicht en handhaving zal zijn. Het versimpelen van de regels kan ook handhaving en toezicht vergemakkelijken. Het kabinet zal dit verder onderzoeken en opheldering vragen bij de Europese Commissie. De budgettaire gevolgen voor de Rijksbegroting worden ingepast op de begroting van de beleidsverantwoordelijke departementen, volgens de regels van de budgetdiscipline. Daarbij dient ook rekening gehouden te worden met medeoverheden».16

49. Is dit nader onderzoek reeds afgerond? Zo ja, wat is daarvan de uitkomst?
50. Hoe verhoudt de passage in het BNC-fiche zich tot de zorgen over de handhaafbaarheid vanuit de toezichthouders? Deze leden ontvangen graag een toelichting.

i. Definitie persoonsgegevens en trainen AI-modellen

In het BNC-fiche lezen deze leden dat de regering ziet dat sommige aanpassingen aan de AVG een fundamentele impact hebben op het recht op privacy en het recht op gegevensbescherming, maar dat bij gebrek aan impact assessment en advies van de EPDB en EDPS de regering de proportionaliteit ervan niet kan beoordelen. Inmiddels zijn, na het verschijnen van de BNC-fiches, de adviezen van de EDPS en het EDPB verschenen.17

51. Hoe beoordeelt u deze adviezen?
52. Kunt u nogmaals reflecteren op de proportionaliteit van de aanpassingen aan de AVG na het lezen van de adviezen van de EPDB en EDPS?
53. Wat betekent dit voor het oordeel van de regering ten aanzien van de proportionaliteit van de Omnibus Digitaal en de Omnibus AI? Deze leden ontvangen graag een toelichting.

Het wijzigen van de definitie van persoonsgegevens in de Omnibus Digitaal heeft als voornaamste effect dat het trainen van AI-modellen makkelijker en juridisch toegankelijker wordt. De voorgestelde wijzigingen verkleinen de reikwijdte van wat als «persoonsgegevens» wordt beschouwd, waardoor meer data gebruikt kan worden zonder expliciete toestemming van de betrokkenen. Het voorstel kent een aantal wijzigingen ten aanzien van de definitie en reikwijdte van persoonsgegevens, namelijk:

Nauwere definitie van persoonsgegevens: informatie die niet direct kan leiden tot identificatie van een persoon (bijvoorbeeld bepaalde gepseudonimiseerde data) wordt niet meer als «persoonsgegeven» gezien als de ontvanger niet over de middelen beschikt om de persoon te identificeren. Dit maakt het eenvoudiger om grote datasets te gebruiken voor AI-training.

54. Wie is verantwoordelijk voor de beoordeling of de ontvanger niet over voldoende middelen beschikt om de persoon te identificeren; de afzender of de ontvanger? Wat betekent dit praktisch in de hele keten van informatie-uitwisseling?
55. Er is ook veel data die niet direct, maar indirect gegevens onthult. Bijvoorbeeld politieke voorkeur die afgeleid kan worden uit reacties en likes op een platform. Ook indirecte gegevens zoals locatiegegevens, surfgedrag, of aankoopgeschiedenis kunnen makkelijker worden gebruikt. Wat betekent deze aanpassing voor het beschermingsniveau? Deze leden ontvangen graag een toelichting.
56. De Autoriteit Persoonsgegevens (AP) waarschuwt voor het risico op grootschalige surveillance als indirecte identificatie niet meer onder de AVG valt. Het wordt makkelijker om op basis van «anonieme» data profielen te maken die in de praktijk alsnog naar individuen herleidbaar zijn, wat kan leiden tot ongewenste monitoring. Hoe oordeelt u over dit risico? Deze leden ontvangen graag een toelichting.
57. De EDPB en EDPS waarschuwen dat de «versmalling» van de definitie van persoonsgegevens een juridisch gat creëert: als data niet langer als «persoonlijk» wordt gezien, vervallen alle AVG-waarborgen automatisch, waardoor de nieuwe «extra» regels weinig effect hebben.18 Hoe oordeelt u over dit risico?
58. Hoe oordeelt u over deze aanpassing als geheel?
59. Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?
60. Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven.

61. Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Ruimere interpretatie van «legitiem belang»: het trainen van AI-modellen en het doen van wetenschappelijk onderzoek worden expliciet erkend als legitieme belangen onder de AVG. Hierdoor is geen toestemming nodig, mits er passende waarborgen zijn. De Omnibus Digitaal erkent expliciet dat onderzoek door commerciële partijen, zoals het trainen van AI-modellen door een techbedrijf, als wetenschappelijk onderzoek kan worden aangemerkt, mits het bijdraagt aan de algemene stand van de techniek en wetenschap.

62. Hoe oordeelt u over de voorgestelde waarborgen?
63. Hoe oordeelt u over deze aanpassing als geheel?
64. Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?
65. Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Onder andere de European Digital Rights (EDRi), een koepelorganisatie van burgerrechtenorganisaties, waarschuwt dat de Omnibus Digitaal een «vrijbrief» geeft aan grote (Amerikaanse) techbedrijven om de AVG te omzeilen door middel van een vage definities over «wetenschappelijk onderzoek» en «gerechtvaardigd belang» bij het trainen van AI.19

66. Kunt u reflecteren op deze waarschuwing? Deze leden ontvangen graag een toelichting.
67. Deelt u de opvatting dat het legitimeren van dataverzameling voor het trainen van AI-systemen zonder toestemming uitsluitend de machtspositie van grote spelers zal versterken, die reeds over gigantisch veel data beschikken, en dat dit schadelijk is voor privacy van EU-burgers en eerlijke concurrentie met Europese bedrijven?

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven.

68. Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Gebruik van gevoelige data voor bias-detectie: het gebruik van bijzondere persoonsgegevens over bijvoorbeeld etniciteit, religie of gezondheid, voor het opsporen en corrigeren van bias in AI-systemen wordt verruimd. Zo wordt de doelgroep voor het gebruik van data voor bias-detectie verruimd: waar de AI-verordening deze uitzondering momenteel beperkt tot aanbieders van hoog-risico systemen, breidt de Omnibus AI dit uit naar aanbieders én gebruikers van alle AI-systemen en -modellen.

69. Hoe oordeelt u over deze aanpassing?
70. Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?
71. Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Organisaties mogen biometrische gegevens verwerken wanneer het noodzakelijk is om de identiteit van een betrokkene te verifiëren en de gegevens en middelen voor deze verificatie onder de uitsluitende controle van de betrokkene zijn.

72. Wat betekent precies «onder uitsluitende controle van betrokkenen zijn» in de situatie waarbij een werkgever dit wil gebruiken voor de toegangscontrole van medewerkers?

De EDPB en EDPS uiten kritiek op het feit dat de Omnibus AI voorziet in een wijziging van de grondslag voor de verwerking van bijzondere persoonsgegevens, waarbij de eis van «strikt noodzakelijk» wordt vervangen door de minder strenge eis van «noodzakelijk».20

73. Hoe oordeelt u over deze specifieke aanpassing?
74. Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?
75. Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

De Europese Commissie stelt enkele waarborgen voor, namelijk:

• Strikte doelbinding: De verwerking van gegevens over gezondheid, religie of etniciteit is alleen toegestaan voor het detecteren en corrigeren van bias. Zodra de bias is verholpen, moet de data in principe worden verwijderd of geanonimiseerd.
• Beperkte toegang: Alleen geautoriseerd personeel mag met deze gevoelige datasets werken. Er moeten technische barrières zijn (zoals «clean rooms» of beveiligde omgevingen) om te voorkomen dat de data weglekt naar andere afdelingen.
• Transparantie en documentatie: Ontwikkelaars moeten in hun technische documentatie vastleggen waarom het gebruik van deze data noodzakelijk was en welke maatregelen zijn genomen om de privacy te beschermen.
• Toezicht door het AI-bureau: Dit nieuwe Europese orgaan moet toezien op de naleving van deze regels bij de machtigste AI-modellen.
- 76. Hoe oordeelt u over deze waarborgen?
- 77. Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?
- 78. Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Nationale toezichthouders en de EDPB en EDPs waarschuwen voor:

• Het risico op «function creep». Dit behelst het risico dat de data die verzameld worden voor bias-correctie in de praktijk voor andere (commerciële) doeleinden gebruikt kunnen worden zodra de drempel voor verwerking is verlaagd;
• Nieuwe vormen van profilering. Hoewel het doel «eerlijkheid» is, kunnen bedrijven deze gevoelige data indirect gebruiken om gedrag te voorspellen. Zo kan een verzekeraar of bank AI-modellen bouwen die patronen herkennen die samenhangen met religie of gezondheid, wat kan leiden tot uitsluiting op basis van statistische profielen.
• Inbreuk op de private sfeer. Gegevens over religie en etniciteit behoren tot de meest persoonlijke informatie. Critici vrezen dat het «normaliseren» van het gebruik hiervan in AI-training de psychologische drempel verlaagt voor overheden en bedrijven om deze data op grote schaal te monitoren.
- 79. Hoe oordeelt u over deze voorziene risico’s?
- 80. Wat betekent dit voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?
- 81. Wat betekent dit de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

De EDPB en EDPS vinden dat gebruik van gevoelige gegevens voor bias-detectie alleen zou mogen in strikt afgebakende situaties, bijvoorbeeld wanneer de risico’s van discriminatie ernstig zijn en er passende waarborgen gelden.21 De EDPB en EDPS adviseren om het gebruik van gevoelige gegevens (zoals etniciteit of gezondheidsdata) voor bias-detectie expliciet te beperken tot gevallen waarin het risico op ernstige nadelige gevolgen door bias aangetoond kan worden.

82. Kunt u reflecteren op dit advies? Onderschrijft u deze voorwaarde?
83. Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus AI?

De EDPB en EDPS benadrukken dat nationale gegevensbeschermingsautoriteiten in de eerste plaats bevoegd zouden moeten zijn om toezicht te houden op de verwerking van persoonsgegevens.22

84. Hoe oordeelt u over dit advies? Onderschrijft u deze voorwaarde?
85. Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus AI?

In het kader van de proportionaliteitsbeoordeling lezen de leden van de fractie GroenLinks-PvdA in het BNC-fiche dat de regering vraagtekens heeft over de proportionaliteit van de voorstellen ten aanzien van de gegevensbescherming in relatie tot de vermindering van de regeldruk: «Sommige wijzigingen aan de AVG lijken verder te gaan dan noodzakelijk omdat de wijzigingen afbreuk doen aan respectievelijk gegevensbescherming en onvoldoende duidelijk is in hoeverre deze voorstellen effectief regeldruk verlagen. Het kabinet zal opheldering vragen bij de Commissie en de gevolgen voor regeldruk, uitvoerbaarheid en bescherming van grondrechten verder in kaart te brengen voordat het tot een definitief oordeel komt op deze onderdelen. Het kabinet hecht eraan dat er in het bijzonder voor wijzigingen met impact op gegevensbescherming en fundamentele rechten gelegenheid is om de voorstellen en de gevolgen daarvan gedegen te analyseren en deze inhoudelijk te bespreken».23

86. Is er inmiddels meer helderheid over de geconstateerde onduidelijkheden?
87. Is een nader oordeel over de proportionaliteit van dit onderdeel?

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven.

88. Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

j. Geautomatiseerde besluitvorming

De leden van de fractie van GroenLinks-PvdA merken op dat artikel 22 van de AVG fundamenteel wordt herzien. Op dit moment heeft een betrokkene het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming zonder menselijke tussenkomst als dat een rechtsgevolg of ander gevolg heeft dat hem of haar significant raakt. Daar zijn een aantal uitzonderingen op. Deze negatieve formulering «mag niet, behalve» wordt in het voorstel omgedraaid naar een positieve formulering: het mag als er aan bepaalde voorwaarden wordt voldaan.

89. Hoe oordeelt u over deze aanpassing?
90. Wat betekent dit voor het toezicht? Welke mogelijke knelpunten worden hierbij voorzien?
91. Wat betekent dit de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven.

92. Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

k. Effecten gecentraliseerde toestemming voor het Nederlandse en Europese medialandschap

De leden van de fractie van GroenLinks-PvdA lezen in een position paper van NDP Nieuwsmedia, een branchevereniging voor nieuwsmedia, dat zij bezorgd zijn over de aangekondigde Omnibus Digitaal.24 De Omnibus Digitaal grijpt volgens NDP Nieuwsmedia op onwenselijke wijze in op Nederlandse nieuwsmedia en brengt daarmee het behoud van een vitaal Nederlands journalistiek landschap in gevaar, omdat steeds meer advertentie-inkomsten richting Big-Tech vloeien. Juist in een tijd waarin grote (Amerikaanse) techbedrijven steeds meer invloed krijgen op de informatievoorziening, is het behoud van een vitaal journalistiek landschap van groot maatschappelijk belang.

Deze leden lezen dat de Europese Commissie de kwetsbare positie van nieuwsuitgevers op de online advertentiemarkt erkent. Dit is onder meer aanleiding geweest voor het European Democracy Shield, waarmee wordt ingezet op duurzame bescherming van Europese nieuwsuitgevers.

93. Herkent u, net als de Europese Commissie, het belang om de positie van nieuwsuitgevers binnen Omnibus Digitaal extra te beschermen ten opzichte van grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

De Europese Commissie poogt nieuwsuitgevers binnen de Omnibus Digitaal te beschermen door hen uit te zonderen van gecentraliseerde cookie-toestemming voor de verwerking van persoonsgegevens (art. 88ter, lid 3). Deze uitzondering voor mediadiensten is noodzakelijk om te voorkomen dat het financieren van journalistiek middels advertenties nagenoeg onmogelijk wordt, maar de invoering van «één klik» (art. 88bis, lid 4, sub a) leidt er alsnog toe dat de financiering van de journalistiek volgens NPD Nieuwsmedia ernstig in gevaar wordt gebracht. De gecentraliseerde cookie-toestemming vergroot de marktmacht van grote (Amerikaanse) techbedrijven. Hoewel zij op grote schaal data verzamelen en persoonsgericht adverteren, zullen zij minder geraakt worden door dit voorstel, omdat ze in mindere mate gebruik van cookie-toestemming bij hun dataverzameling en targeting.

94. Herkent u het risico dat de voorgestelde maatregelen binnen de Omnibus Digitaal de marktmacht van grote (Amerikaanse) techbedrijven op de online advertentiemarkt juist verder vergroot, terwijl grote (Amerikaanse) techbedrijven door steeds groter wordende marktmacht de duurzame financiering van de Nederlandse journalistiek bedreigt? Deze leden ontvangen graag een toelichting.

Tot slot hebben de leden van de fractie van GroenLinks-PvdA van NDP Nieuwsmedia vernomen dat zij verwachten dat de uitzondering in de praktijk ertoe zal leiden dat grote Amerikaanse techbedrijven (zoals Google) bepalen wat kan worden gekwalificeerd als media service provider in de zin van de Media Freedom Act. Dit vergroot de marktmacht van de digitale gatekeepers, zoals bedoeld in de Digital Markets Act (DMA).

95. Erkent u dit risico? Zo nee, waarom niet? Zo ja, acht u het wenselijk om hier iets aan te doen? Deze leden ontvangen graag een toelichting.

l. Bezwaarmogelijkheden burgers

Met de wijzigingen van de AVG waarin de Omnibus Digitaal voorziet wordt het recht om bezwaar te maken tegen de verwerking van persoonsgegevens van artikel 21 van de AVG beperkt, nu de bewijslast en de drempels verschuiven. Het trainen van AI wordt bijvoorbeeld vaker aangemerkt als een gerechtvaardigd belang. Burgers moeten in dat geval aantonen dat hun concrete privacybelang zwaarder weegt dan het innovatiebelang van het bedrijf. Dat vormt een aanzienlijk hogere drempel dan tot nu toe het geval was.

96. Hoe oordeelt u over de wijzingen ten aanzien van de bezwaarmogelijkheden van burgers en maatschappelijke organisaties?

De EDPB en EDPS waarschuwen dat burgers niet meer kunnen overzien waar hun gegevens terechtkomen als het trainen van AI automatisch als «gerechtvaardigd belang» wordt aangemerkt.25

97. Hoe oordeelt u over deze zorgelijke conclusie van de EDPB en EDPS? Deze leden ontvangen graag een toelichting.
98. Hoe beoordeelt u de kritiek op dit onderwerp van onafhankelijke organisaties en consumentenbonden, zoals BEUC en Corporate Europe Observatory?26

m. Gevolgen voor (mede)overheden en de rechtspraak

De leden van de fractie van GroenLinks-PvdA lezen dat de Omnibus Digitaal voorziet in een beperking van de reikwijdte van de bevoegdheid van overheden om gegevens op te vragen bij bedrijven in situaties van «uitzonderlijke noodzaak» tot alleen «algemene noodsituaties». Dit is volgens de regering een verbetering voor het recht op gegevensbescherming.

99. Kunt u aangeven wat deze aanpassing betekent voor (mede)overheden? In welke situaties van «uitzonderlijke noodzaak» kunnen (mede)overheden nu geen informatie meer opvragen? Deze leden ontvangen graag een toelichting met een aantal voorbeelden.
100. Kunt u aangeven hoe vaak dit soort situaties van «uitzonderlijke noodzaak» in de afgelopen jaren zijn voorgekomen?
101. Kunt u een inschatting geven van de effecten van deze aanpassing?

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven.

102. Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

In het BNC-fiche lezen deze leden dat er ook mogelijke effecten zijn voor de rechtspraak.

103. Welke effecten, en in welke omvang, worden door u voorzien? Wat is het oordeel van de partijen in de rechtspraak wat betreft de effecten van deze aanpassingen?

De leden van de fractie van GroenLinks-PvdA hebben van IPO en de VNG vernomen dat zij zich zorgen maken over risico's op surveillance bij bias-detectie, de gelijkschakeling van commerciële AI-training met wetenschappelijk onderzoek en de verschuiving van verantwoordelijkheid voor AI-geletterdheid. IPO en VNG wezen ook op mogelijke versnippering van toezicht, het schrappen van de registratieplicht voor AI-systemen, onduidelijkheid over gecentraliseerde incidentrapportage en de inperking van lokaal ethisch beleid.

104. Kunt u op alle genoemde punten inhoudelijk reageren? Hoe oordeelt u op deze kritiekpunten? Deze leden zien graag een reactie op de inperking van (decentraal) ethisch beleid.

n. Schrappen Platform-to-Business-verordening (P2B)

In het BNC-fiche lezen de leden van de fractie van GroenLinks-PvdA dat de regering kritisch is op het voorstel om de P2B-verordening gefaseerd in te trekken.

105. Wat is de strategie om dit onderdeel van de Digitale Omnibussen aangepast te krijgen?
106. Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?
107. Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal?

De ACM is sinds kort bevoegd om de P2B te handhaven en ontvangt, zo lezen deze leden in het BNC-fiche, inmiddels regelmatig meldingen over niet-naleving van de P2B door platforms: «Zonder de P2B kan de ACM geen toezicht meer houden op problemen die ondernemers ondervinden op platforms die buiten Nederland gevestigd zijn».27 Schrappen zal dus naar verwachting leiden tot minder rechtszekerheid en minder bescherming voor met name kleinere ondernemers die handelen op platforms.

108. Kunt u, in overleg met ACM, een nadere toelichting geven op welk type bedrijven zich niet aan de wetgeving houdt?
109. Kunt u, in overleg met ACM, toelichting geven op de verwachte impact van het schrappen van de P2B?

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven.

110. Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

o. Uitzonderingsbepalingen overstappen clouddiensten

De leden van de fractie van GroenLinks-PvdA hebben grote zorgen over de uitzonderingen die in de Omnibus Digitaal worden geïntroduceerd met betrekking tot de bepalingen inzake het overstappen tussen clouddiensten. Overstappen is niet in alle gevallen meer gratis, maar er kunnen «proportionele overstapvergoedingen» in rekening worden gebracht bij maatwerk-diensten. In het BNC-fiche lezen de leden dat deze uitzonderingen volgens de regering juist onduidelijkheid voor gebruikers van clouddiensten creëren en hun keuzevrijheid belemmeren. De regering ziet «liever geen aanpassingen die de werking van dit onderdeel van de Dataverordening beperken of vertragen gezien de Dataverordening een belangrijk onderdeel is in het beter laten functioneren van de Europese cloudmarkt».28

111. Wat is de strategie om dit onderdeel van de Omnibus Digitaal aangepast te krijgen?
112. Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?
113. Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal?

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven.

114. Past deze aanpassing in de actuele strategie van Europa om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

p. AI-geletterdheid en registratieplicht hoog risico AI-systemen

De leden van de fractie van GroenLinks-PvdA merken op dat de verantwoordelijkheden omtrent AI-geletterdheid worden gewijzigd. De verplichtingen voor bedrijven om AI-geletterdheid te bevorderen worden verminderd. Deze verplichting geldt voortaan alleen voor organisaties die hoog risco AI-systemen inzetten. MBK-bedrijven worden grotendeels vrijgesteld van een actieve plicht om personeel te trainen. De verantwoordelijkheid om de algemene bevolking AI-geletterd te maken, wordt sterker bij de lidstaten zelf gelegd. Er wordt meer ruimte gegeven aan vrijwillige gedragscodes. In plaats van strikte wettelijke eisen voor training, mogen sectoren zelf bepalen wat een «voldoende niveau» van geletterdheid is voor hun specifieke werknemers.

In het BNC-fiche lezen deze leden dat de regering bezwaren heeft tegen het schrappen van de registratieplicht voor hoog risico AI die alleen voor beperkte of procedurele taken worden gebruikt omdat dit de transparantie verlaagt over het gebruik van AI-systemen in hoog risico context en het toezicht bemoeilijkt op deze systemen. Bovendien levert deze maatregel slechts een beperkte verlichting van regeldruk op, aldus de regering. De leden van de fractie van GroenLinks-PvdA maken zich zorgen over de effecten hiervan.

115. Wat is volgens u het effect hiervan? Deze leden ontvangen graag een toelichting.
116. Wat is het standpunt van u ten aanzien van deze wijzigingen? Deze leden ontvangen graag een toelichting.
117. Hoe denkt u deze verantwoordelijkheid binnen Nederland, samen met de medeoverheden, in te gaan vullen?

De EDPB en de EDPS hebben in een gezamenlijke opinie over de Omnibus AI bepleit dat bedrijven zelf verantwoordelijk dienen te blijven voor het waarborgen van voldoende kennis en zorgvuldigheid binnen hun organisatie.29

118. Hoe oordeelt u over het advies van de EDPB en de EDPS? Deze leden ontvangen graag een toelichting.

q. Subsidiariteit

In het BNC-fiche lezen de leden van de fractie van GroenLinks-PvdA dat het de regering specifiek over het voorstel in de Omnibus Digitaal om een Europees meldpunt in te richten zorgen heeft over de subsidiariteit. De motivatie hiervoor is als volgt verwoord: «Het specifieke doel van versimpelen en stroomlijnen van de verschillende meldplichten uit (cyber)wetgeving kan voor een groot deel ook zonder dit vergaande middel bereikt worden en ook op nationaal niveau door lidstaten 12 worden opgelost. Zo zal de grootste groep entiteiten onder de CER- en de NIS2-richtlijn niet grensoverschrijdend opereren. Deze partijen hebben voldoende aan het simplificeren van rapportageverplichtingen en een meldpunt op nationaal niveau. Bovendien wordt er door lidstaten in diverse Europese expertgroepen, waaronder de NIS Cooperation Group, reeds samengewerkt om dit doel te bereiken».30

119. Kunt u een nadere toelichting geven over de zorgen ten aanzien van de subsidiariteit? Is er volgens u wel of niet sprake van strijdigheid met het subsidiariteitsbeginsel op dit onderdeel?

r. Digital Fairness Act (DFA)

De leden van de fractie van GroenLinks-PvdA merken op dat de Digital Fairness Act (DFA) enerzijds, en de Omnibus Digitaal en de Omnibus AI anderzijds, deel uitmaken van een bredere beweging van de Europese Commissie om de digitale regelgeving te moderniseren, maar ze hebben tegenovergestelde doelen. Waar de DFA nieuwe regels toevoegt om consumenten te beschermen, zijn de Omnibus Digitaal en de Omnibus AI juist gericht op het verminderen van regeldruk (deregulering). De DFA voegt een nieuwe laag bescherming toe. Volgens de Europese Commissie is dit nodig omdat de huidige wetten (zoals de Unfair Commercial Practices Directive) «gaten» vertonen bij het aanpakken van moderne digitale problemen zoals dark patterns en verslavende algoritmes.

120. Hoe beoordeelt u deze tegenstelling? Deze leden ontvangen graag een toelichting.
121. Wordt met de Omnibus Digitaal en de Omnibus AI de doelstelling van de Digitale Fairness Act (DFA) aangetast? Zo ja, bij welke aanpassingen is dit volgens u aan de orde?

2. Vragen en opmerkingen van de leden van de fractie van de BBB

De leden van de fractie van de BBB hebben kennisgenomen van het BNC-fiche voor de Omnibus Digitaal en de Omnibus AI en het BNC-fiche voor de Data Unie Strategie. Deze leden merken op dat de invoering van de Omnibus Digitaal en de Omnibus AI leidt tot simplificatie en daardoor verhoging van de concurrentiekracht en verlaging van de administratieve lasten voor het bedrijfsleven. Zij wensen in dit kader enkele vragen te stellen aan u.

1. Wat is de totale geraamde besparing in administratieve lasten – uitgedrukt in euro’s en fulltime-equivalenten (fte) – als gevolg van de Omnibus Digitaal en de Omnibus AI voor Nederlandse bedrijven in de komende vijf jaar?
2. Is er of wordt er een onafhankelijke impact assessment uitgevoerd op de Nederlandse situatie? Zo ja, kunt u deze impact assessment aan de Kamer doen toekomen?
3. Hoe waarborgt u dat de versoepelingen niet leiden tot een lagere bescherming van fundamentele rechten met betrekking tot privacy?
4. Op welke wijze wordt na invoering van de zevende omnibus ervoor gezorgd dat belanghebbenden op de hoogte zijn en worden getraind?
5. Is bij de berekening van besparingen rekening gehouden met deze kosten in tijd en geld?
6. Welke knelpunten verwacht u bij het MKB en decentrale overheden (gemeenten en provincies) door de wijzigingen van de AI-verordening?
7. Hoe wordt ervoor gezorgd dat AI-leveranciers in Nederland de versoepelde eisen daadwerkelijk toepassen?
8. Acht u de voorgestelde inwerkingtredingstermijnen in de beide ontwerpverordeningen – eenmaal vastgesteld en gepubliceerd – uitvoerbaar voor overheid en bedrijfsleven?
9. Worden er pilots voorzien om uitvoerbaarheid te testen?
10. In welke mate wordt het maatschappelijke middenveld zoals VNG, IPO, en MKB-Nederland betrokken?
11. Hoe voorkomt u dat versoepelingen leiden tot een «race to the bottom» bij AI-veiligheid?
12. Wat zijn de risico’s op juridische procedures door onduidelijke overgangsregels?
13. Wordt de uitvoerbaarheid getoetst aan de hand van de Nederlandse Digitaliseringsstrategie (NDS)?
14. Hoe voorkomt u dat versoepelingen leiden tot meer meldingen bij de AP?
15. Voorziet u dat de Europese Commissie advies zal vragen aan de diverse adviesorganen?
16. Hoe blijft de AVG-compliancy gewaarborgd na de voorgestelde wijzigingen?
17. Is er een aparte AVG-impact assessment uitgevoerd voor de Nederlandse situatie?

3. Vragen en opmerkingen van de leden van de fractie van D66, mede namens de leden van de fractie van de PvdD

De leden van de fractie van D66 hebben met belangstelling kennisgenomen van het BNC-fiche voor de Omnibus Digitaal en de Omnibus AI en het BNC-fiche voor de Data Unie Strategie. Deze leden merken op dat het zeer brede en ingrijpende voorstellen zijn. Tegen deze achtergrond wensen deze leden, mede namens de leden van de fractie van de PvdD, nog een aantal vragen te stellen.

a. Vragen met betrekking tot COM(2025) 835 – Mededeling Data Unie Strategie

1. In het BNC-fiche geeft de regering met betrekking tot pijler I aan de nieuwe focus op data spaces te waarderen, maar merkt daarbij op dat belangrijke details in de uitwerking nog ontbreken. Ook geeft de regering aan in het voorstel een lange termijn visie te missen over data spaces. Wat is in uw ogen de lange termijn visie voor data spaces?
2. Verder wijst de regering erop, met betrekking tot pijler I, dat er nog uitdagingen liggen ten aanzien van het verantwoord delen van data. Deze leden vinden het belangrijk dat data verantwoord wordt gedeeld. Daarom vragen deze leden welke uitdagingen u ziet en hoe deze zich verhouden tot het waarborgen van fundamentele rechten.
3. Daarnaast heeft de regering, ten aanzien van dezelfde pijler, nog vragen of er overlap bestaat tussen bestaande activiteiten en de Data Labs. Deze leden vragen of u een beeld heeft van waar die mogelijke overlap plaatsvindt.
4. Gelet op de derde pijler merkt de regering op dat het de inzet op het versterken van partnerschappen met gelijkgestemde landen steunt, onder andere op het gebied van het inzetten van data spaces in internationale datastromen. Deze leden vragen wat u verstaat onder «gelijkgestemde landen» en hoe u kijkt tegen het verder uitwerken (in EU-verband) van deze term, gelet op het belang dat onze data niet in verkeerde handen komt.

b. Vragen met betrekking tot COM(2025) 836 en 837 – Omnibus AI en Omnibus Digitaal

5. De leden van de fractie van D66 onderschrijven dat de regering erop toeziet dat de Europese regelgeving doelgericht en uniform wordt geïmplementeerd, toegepast en gehandhaafd. De leden lezen in het BNC-fiche dat de regering het belang van voldoende capaciteit bij toezichthouders onderstreept. Deze leden vragen of u hiermee doelt op nationale of Europese toezichthouders en of naar uw oordeel de capaciteit momenteel toereikend is. Daarnaast merken de aan het woord zijnde leden op dat de Omnibus Digitaal voorziet in oprichting van een Europees meldpunt dat de rol van nationale toezichthouders lijkt over te nemen. Is er dan nog wel capaciteit bij onze nationale toezichthouder nodig?
6. Voorts geeft de regering in het BNC-fiche aan dat het belangrijk is dat er ruimte blijft voor nationale «flexibiliteit» met betrekking tot het hergebruiken van persoonlijke data in publieke registers. Kunt u verduidelijken wat het in dit kader bedoelt met flexibiliteit?
7. Verder lezen de aan het woord zijnde leden in het BNC-fiche dat de Europese Commissie inschat dat de Omnibus AI € 297 tot € 433 miljoen aan lastenverlichting voor bedrijven oplevert en de Omnibus Digitaal zowel jaarlijks, als eenmalig, € 1 miljard. Hoe beoordeelt u de verhouding tussen de mate van lastenverlichting die de Omnibussen opleveren en de beoogde doelen van vereenvoudiging en stroomlijning? Hoe beoordeelt u de omvang van de verwachte lastenverlichting? Mist u aspecten die in de Omnibussen hadden kunnen worden opgenomen die tot verdere besparingen hadden kunnen leiden en in lijn waren geweest met de gestelde doelen?
8. De regering plaatst twee kanttekeningen bij de proportionaliteit van de Europese voorstellen. Deze leden achten deze kanttekeningen vrij aanzienlijk en vragen waarom u desondanks positief oordeelt over de proportionaliteit van de Omnibus Digitaal en de Omnibus AI. Verwacht u dat deze aandachtspunten alsnog worden betrokken bij de verdere onderhandelingen?
9. Onlangs heeft de Autoriteit Persoonsgegevens (AP) in een position paper ook haar zorgen geuit over een aantal voorgestelde wijzigingen van de Omnibussen.31 Zo gaat de drempel omhoog voor het melden van datalekken bij de toezichthouder op grond van de AVG. De Autoriteit Persoonsgegevens (AP) ziet in de praktijk dat organisaties de risico’s van een datalek vaak bewust of onbewust onderschatten en geeft hier ook een concreet voorbeeld voor. Deze leden maken zich zorgen dat de autoriteit persoonsgegevens (AP) na de voorgestelde wijziging geen zicht meer heeft op deze gevallen. Deelt u deze zorg van deze leden?
10. Daarnaast geeft de Autoriteit Persoonsgegevens (AP) in het position paper aan dat de criteria voor de mogelijkheid om het recht op inzage in de AVG te beperken bij «buitensporige verzoeken» niet duidelijk zijn. Hoe ziet u dit? Hoe beoordeelt u de zorg van de Autoriteit Persoonsgegevens (AP) dat deze onduidelijkheid ertoe zal leiden dat organisaties de term «buitensporige verzoeken» verschillend zullen uitleggen?

4. Vragen en opmerkingen van de leden van de fractie van PVV

De leden van de fractie van PVV hebben kennisgenomen van het BNC-fiche voor de Omnibus Digitaal en de Omnibus AI en het BNC-fiche voor de Data Unie Strategie. Zij hebben nog een aantal vragen.

a. Vragen met betrekking tot COM(2025)836 – Omnibus AI

De leden van de PVV fractie merken op dat de Omnibus AI voorziet in: «Het centraliseren van het toezicht door het AI-bureau op een groot aantal AI-systemen die zijn gebaseerd op AI-modellen voor algemene doeleinden of zijn ingebed in zeer grote onlineplatforms en zeer grote zoekmachines».32

1. Kunt u aangeven óf en hoe op zo onafhankelijk mogelijke wijze en op gelijkwaardige basis AI-systemen beoordeeld zullen worden door het AI-bureau en op basis van welke concrete criteria?

In het voorstel van de Omnibus AI lezen de leden van de fractie van PVV dat wordt gewerkt aan aanvullende richtsnoeren die gericht zijn op het verstrekken van duidelijke en praktische instructies om de AI-verordening aan andere EU-wetgeving toe te passen. Daarbij gaat het onder meer om: «richtsnoeren inzake het melden van ernstige incidenten door aanbieders van AI systemen met een hoog risico; richtsnoeren inzake de praktische toepassing van de vereisten met betrekking tot systemen met een hoog risico; richtsnoeren inzake de praktische toepassing van de verplichtingen voor aanbieders en gebruiksverantwoordelijken van AI-systemen met een hoog risico; richtsnoeren met een model voor de effectbeoordeling van de grondrechten.»33

2. Kunt u aangeven wat wordt verstaan onder «ernstige incidenten», wat daarvoor de omschrijving is, wat de criteria zijn en door wie bepaald wordt wanneer sprake is van een «ernstig incident»?
3. Kunt u aangeven wat wordt verstaan onder «een hoog risico», wat daarvoor de omschrijving is, wat de criteria zijn en door wie bepaald wordt wanneer sprake is van een «hoog risico»?
4. Kunt u aangeven hoe in het bijzonder de grondrechten op het gebied van vrijheid van meningsuiting gewaarborgd worden en, óf en hoe, voorkomen wordt dat door maatregelen van de Europese Commissie sprake kan zijn van vormen van censuur?

b. Vragen met betrekking tot COM(2025)837 – Omnibus Digitaal

De leden van de PVV-fractie lezen in het voorstel van de Omnibus Digitaal: «De in deze verordening voorgestelde wijzigingen zullen een centraal toegangspunt invoeren die entiteiten in staat stelt tegelijkertijd aan hun verplichtingen inzake de melding van incidenten uit hoofde van meerdere rechtshandelingen te voldoen. Door het beginsel «eenmalig melden, veelvoudig delen» te bevorderen, zal het centrale toegangspunt de administratieve lasten voor entiteiten verminderen en tegelijkertijd zorgen voor een doeltreffende en veilige informatiestroom over beveiligingsincidenten naar de in de respectieve wetgeving gedefinieerde ontvangers.»34

5. Kunt u nader duiden wat precies wordt verstaan onder een «centraal toegangspunt» en wat in dit kader bedoeld wordt met «incidenten» en «kwetsbaarheden» en hoe en door wie deze bepaald worden?

5. Vragen en opmerkingen van de leden van de fractie van Volt

De leden van de fractie van Volt hebben kennisgenomen van het BNC-fiche voor de Omnibus Digitaal en de Omnibus AI en het BNC-fiche voor de Data Unie Strategie. Zij wensen daarover de volgende vragen te stellen.

1. De regering geeft in de BNC-fiches aan dat impact assessments ontbreken bij de Omnibus Digitaal, de Omnibus AI en de Data Unie Strategie en dat zij hierover bij de Europese Commissie opheldering zou vragen. Heeft u deze opheldering inmiddels gevraagd en gekregen van de Europese Commissie? Als er aanvullende informatie is verstrekt over de impact, bent u dan bereid om die met onze Kamer te delen?
2. De regering geeft in het BNC-fiche aan dat het ontbreken van de impact assessment het voor de regering moeilijk maakt om te beoordelen welke effecten de Omnibus Digitaal en de Omnibus AI zullen hebben op de verlaging van de regeldruk en op de fundamentele grondrechten en de nationale bevoegdheden. Bent u van mening dat de voorgestelde wijzigingen en de afwegingen die de Europese Commissie daarbij heeft gemaakt voldoende kunnen worden beoordeeld? Zo nee, van welke voorgestelde wijzigingen kunt u nu de impact op de fundamentele rechten of de doelmatigheid (nog) niet goed inschatten of afwegen?
3. Wanneer verwacht u de nog ontbrekende informatie over de impact van de verschillende wijzigingen bij de Europese Commissie te kunnen opvragen? Kunt u een aanvullende impactbeoordeling delen met onze Kamer?
4. De leden van de Volt-fractie lezen in het BNC-fiche dat de regering een risico ziet op meer politieke besluitvorming bij de uitvoering van de AVG, omdat de Omnibus Digitaal uitvoeringsbevoegdheden verschuift van de onafhankelijke nationale en Europese toezichthouder(s) naar de Europese Commissie. Wat zal de verdere inzet van de regering zijn met betrekking tot dit risico bij de behandeling van de Omnibus Digitaal? Denkt u dit risico te kunnen mitigeren? Zo ja, op welke wijze?
5. De regering geeft in het BNC-fiche aan dat zij de adviezen van de Europees Toezichthouder voor gegevensbescherming (EDPS) en van het Europees Comité voor gegevensbescherming (EDPB) wil betrekken bij haar beoordeling en inzet op de Omnibus Digitaal en de Omnibus AI. Deze adviezen zijn inmiddels verschenen. Kunt u aangeven of u de adviezen en de daarin geuite zorgen onderschrijft? Hoe zal de regering deze adviezen bij de verdere Nederlandse inzet betrekken?
6. De regering geeft in het BNC-fiche aan grote zorgen te hebben over het instellen van een Europees meldpunt. Hoe meent u bij de behandeling van de Omnibus Digitaal te kunnen bereiken dat in plaats daarvan wordt voortgeborduurd op nationale meldpunten en oplossingen, zoals de regering in het BNC-fiche voorstaat?
7. De Omnibus Digitaal voorziet in een wijziging van de definitie van «persoonsgegevens». Onderschrijft u dat de voorgestelde wijziging leidt tot subjectiviteit en (rechts)onzekerheid met betrekking tot wanneer sprake is van persoonsgegevens en wanneer de AVG van toepassing is?
8. EDPB en EDPS uiten zorgen over het verruimen van het gebruik van bijzondere persoonsgegevens over bijvoorbeeld etniciteit of gezondheid voor het opsporen en corrigeren van discriminatie in AI-systemen.35 Deelt u de opvatting van de Europese Commissie dat de bescherming tegen het gebruik van die gegevens in het huidige AI-landschap kan worden versoepeld? Zo ja, op basis waarvan komt u tot die conclusie? Wordt het risico op herleidbaarheid niet juist groter naarmate AI zich verder ontwikkelt, en blijft de bescherming daarom niet onverminderd noodzakelijk om directe of indirecte discriminatie te voorkomen? Op welke aanvullende waarborgen zet u in bij de verdere behandeling van de Omnibus Digitaal?
9. De Omnibus AI voorziet in het schrappen van de registratieplicht voor AI-systemen die aanbieders zelf niet aanmerken als hoog risico. Bent u bekend met de bezwaren die de toezichthouders AP en de EDPB hiertegen hebben geuit?36 Deelt u de opvatting dat het schrappen van deze registratieplicht de transparantie en de uitvoerbaarheid van het toezicht vermindert? Op welke wijze betrekt u de zorgen van de toezichthoudende instanties bij de verdere Nederlandse inzet ten aanzien van de Omnibus Digitaal en de Omnibus AI?
10. In het BNC-fiche heeft de regering zorgen geuit over de grondslag die in de Omnibus Digitaal wordt geïntroduceerd voor het verwerken van (bijzondere) persoonsgegevens. De regering geeft aan dat het belangrijk is dat er goede randvoorwaarden zijn. Welke randvoorwaarden moeten volgens u aanwezig zijn? Hoe zet de regering zich bij de behandeling van de Omnibus Digitaal in voor die randvoorwaarden?
11. De leden van de fractie van Volt constateren dat de regering een positieve houding inneemt ten aanzien van het voorstel van gecentraliseerde cookie-toestemming in de Omnibus Digitaal (art. 88ter). Voor digitale «gatekeepers» onder de Digitale Markets Act (DMA) is dit begrijpelijk. Tegelijkertijd kan dit voorstel negatieve gevolgen hebben voor nieuwsuitgevers op de online advertentiemarkt en ook voor media dienstaanbieders. Op welke wijze wordt dit meegenomen bij de Nederlandse inzet? Bent u bereid voor beide een uitzonderingspositie te bedingen? In hoeverre acht u het risico aanwezig dat gecentraliseerde cookie-toestemming een oneigenlijk voordeel voor bepaalde delen van de digitale markt ten opzichte van andere delen daarvan?

6. Vragen en opmerkingen van het lid van fractie-Van de Sanden

Het lid van de fractie-Van de Sanden heeft kennisgenomen van het BNC-fiche voor de Omnibus Digitaal en de Omnibus AI en het BNC-fiche voor de Data Unie Strategie. De vragen van het lid van de fractie-Van de Sanden zijn opgesteld vanuit een liberaal perspectief met bijzondere aandacht voor de rechtsstaat, proportionaliteit, bescherming van grondrechten, administratieve lasten en het behoud van nationale beleidsruimte.

a. Rechtsstaat en democratische controle

1. Kunt u uiteenzetten hoe u voorkomt dat de Omnibus Digitaal leidt tot een verdere verschuiving van bevoegdheden van nationale naar Europese toezichthouders zonder adequate democratische controle? Welke concrete waarborgen worden ingebouwd om te verzekeren dat de rol van nationale parlementen niet wordt gemarginaliseerd?

b. Proportionaliteitstoets

2. Welke proportionaliteitstoets heeft u uitgevoerd met betrekking tot de afzonderlijke onderdelen van de Omnibus Digitaal en de Omnibus AI? Kunt u per voorgestelde maatregel aangeven waarom deze noodzakelijk is, welk probleem wordt opgelost en waarom een minder ingrijpend alternatief niet volstaat?

c. Effect op administratieve lasten

3. Op welke wijze heeft u in kaart gebracht welke administratieve lastenreductie de Omnibus Digitaal daadwerkelijk oplevert voor Nederlandse bedrijven, in het bijzonder voor het midden- en kleinbedrijf en start-ups? Kunt u een concrete kosten-batenanalyse delen?

d. Grondrechten en AI-regulering

4. Hoe waarborgt u dat de aanpassingen in de Omnibus AI, waaronder uitstel van bepaalde verplichtingen uit de AI-verordening, niet leiden tot een verzwakking van de bescherming van fundamentele rechten zoals privacy, gelijke behandeling en het recht op effectieve rechtsbescherming?

e. Nationale beleidsruimte

5. In hoeverre beperken deze voorstellen de ruimte voor Nederland om eigen keuzes te maken op het terrein van digitalisering en AI-toepassingen? Kunt u aangeven welke onderdelen leiden tot volledige harmonisatie en waar nog nationale beleidsvrijheid resteert?

f. Toezicht en rechtsbescherming van burgers en bedrijven

6. Welke mogelijkheden blijven voor burgers en bedrijven bestaan om besluiten van Europese digitale toezichthouders aan te vechten bij een onafhankelijke rechter? Acht u deze rechtsbescherming toereikend. Zo ja, op grond waarvan?

g. Subsidiariteit en Europees meldpunt

7. De regering plaatst in het BNC-fiche een kanttekening bij het voorgestelde Europese meldpunt voor rapportageverplichtingen. Kunt u nader toelichten waarom desondanks geen formeel subsidiariteitsbezwaar wordt overwogen? Welke meerwaarde ziet u in dit meldpunt ten opzichte van nationale voorzieningen?

h. Gevolgen voor innovatie en concurrentievermogen

8. Hoe beoordeelt u de risico’s dat de stapeling van Europese digitale regelgeving – waaronder de Omnibus Digitaal en de Omnibus AI – het Nederlandse innovatieklimaat kan verzwakken? Welke concrete maatregelen neemt u om te voorkomen dat compliance-eisen innovatie ontmoedigen?

i. Digitale soevereiniteit en strategische autonomie

9. Hoe verhouden de voorstellen zich tot het streven naar behoud van Nederlandse en Europese digitale soevereiniteit? Kunt u aangeven op welke punten strategische beslissingsmacht feitelijk uit nationale handen wordt overgedragen en hoe dit wordt gewogen?

De leden van de vaste commissies voor Digitalisering en Economische Zaken & Klimaat en Groene Groei zien met belangstelling uit naar uw antwoorden en ontvangen deze graag uiterlijk de vrijdag voorafgaand aan het mondeling overleg over het parlementair behandelvoorbehoud.

De voorzitter van de commissie Digitalisering G. Veldhoen

De voorzitter van de commissie Economische Zaken & Klimaat en Groene Groei S.M. Kluit

BRIEF VAN DE STAATSSECRETARIS VAN ECONOMISCHE ZAKEN – DIGITALE ECONOMIE EN SOEVEREINITEIT

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 13 maart 2026

Hierbij zend ik u, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister van Justitie en Veiligheid en de Staatssecretaris van Justitie en Veiligheid, de antwoorden op de vragen van de leden van de fracties van GroenLinks-PvdA, BBB, D66, mede namens de leden van de fractie van de PvdD, PVV, Volt en fractie-Van de Sanden naar aanleiding van de voorstellen voor de Omnibus Digitaal (COM(2025)837), Omnibus AI (COM(2025)836) en de Data Unie Strategie (COM(2025)835), evenals de bijbehorende BNC-fiches (179856, ingezonden 24 februari 2026).

In lijn met het door uw Kamer geplaatste parlementair behandelvoorbehoud maakt het kabinet tot het mondeling overleg dat 17 maart met uw Kamer zal plaatsvinden in de onderhandelingen over de digitale omnibussen een voorbehoud. Het kabinet blijft met dat voorbehoud het standpunt zoals geformuleerd in het BNC-fiche uitdragen, inclusief de zorgen die daarin worden geuit. In dat kader heeft het kabinet ook met gelijkgestemde lidstaten non-papers verspreid die de zorgen over het intrekken van de P2B-verordening en het op te richten Europees meldpunt adresseren.

Ik stel voor met uw Kamer dezelfde informatie-afspraken te maken als het kabinet met de Tweede Kamer heeft gemaakt. Dat zou inhouden dat ik uw Kamer regulier update over de onderhandelingen via de geannoteerde agenda voor de Telecomraad. Indien nodig zal ik uw Kamer aanvullend daarop nog per brief informeren wanneer er bijvoorbeeld sprake is van een naderend akkoord. Ik streef ernaar uw Kamer ondanks de hoge snelheid van de onderhandelingen zo goed mogelijk over de voortgang van de onderhandelingen te informeren. Daarbij ben ik wel gebonden aan de informatie-afspraken binnen de Raad en de vertrouwelijkheid van onderhandelingsstukken.

179856

Vragen van de leden van de fractie van GroenLinks-PvdA

Algemene vragen

De leden van de fractie van GroenLinks-PvdA merken op dat er geen integrale impact assessment is gemaakt van Omnibus Digitaal, de Omnibus AI en de Data Unie Strategie. Dat vinden deze leden zeer zorgelijk. In het BNC-fiche lezen deze leden dat ook de regering hier zorgen over heeft. De leden merken op dat een impact assessment vereist is voor Europese voorstellen die mogelijk significante economische, ecologische of sociale gevolgen hebben. Dit geldt voor zowel wetgevingsvoorstellen (richtlijnen/verordeningen) als belangrijke niet-wetgevingsinitiatieven (zoals mededelingen of actieplannen). Een impact assessment is onderdeel van de agenda «Better Regulation» (betere regelgeving) van de Europese Commissie.

Deelt u de conclusie van deze leden dat een integrale impact assessment een verplicht onderdeel is? Zo nee, waarom niet? Zo ja, wat betekent deze verplichting voor de kabinetsinzet? Is dit een harde voorwaarde om te kunnen starten met de onderhandelingen en/of in te kunnen stemmen met de voorstellen? Deze leden ontvangen graag een toelichting.

Antwoord

Voor de omnibussen presenteert de Europese Commissie (hierna: Commissie) in het algemeen geen impact assessments. De Commissie geeft als reden dat het gaat om urgente aanpassingen van politiek belang, die te veel vertraging zouden oplopen als er een volledig impact assessment moet worden uitgevoerd. De analyse en onderbouwing van de voorstellen wordt middels een Staff Working Document (SWD)37 gedeeld.

Het SWD biedt volgens de Commissie voldoende basis om te onderhandelen over de voorstellen die zich in lijn met de kabinetsinzet focussen op versimpelen, verduidelijken en stroomlijnen. Voor sommige onderdelen van de voorstellen die verdergaan dan het versimpelen, verduidelijken en stroomlijnen van wetgeving, maakt het ontbreken van een impact assessment het moeilijk voor het kabinet om de effecten te beoordelen.

Het kabinet heeft de Commissie verzocht een uitgebreidere analyse van de impact van deze voorstellen te presenteren. Ook brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart. Daarmee zet het kabinet erop in de voorstellen die verdergaan dan versimpeling te behandelen op een wijze die recht doet aan de potentiële impact en de zorgpunten. Een formeel impact assessment is niet de enige manier om deze inzet te bewerkstelligen. Het kabinet heeft daarnaast aangegeven dat het advies van de Europees Toezichthouder voor gegevensbescherming (EDPS) en het Europees Comité voor gegevensbescherming (EDPB), dat 10 februari is vastgesteld, moet worden betrokken bij de bespreking van dit voorstel.38 Het advies van de EDPB en EDPS is op voorspraak van Nederland gepresenteerd in de AGS. Ook brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart. Daarmee zet het kabinet erop in de voorstellen die verdergaan dan versimpeling te behandelen op een wijze die recht doet aan de potentiële impact en de zorgpunten.

De leden van de fractie van GroenLinks-PvdA merken op dat als de Europese Commissie bij een voorstel voor een verordening geen impact assessment maakt, lidstaten en andere actoren verschillende politieke en juridische mogelijkheden hebben om de Europese Commissie hiertoe aan te sporen. Verordeningen zijn rechtstreeks van toepassing in lidstaten en hebben dus directe werking, waardoor actie tijdens het wetgevingsproces cruciaal is.

Welke mogelijkheden ziet u om tijdig een integrale impact assessment beschikbaar te krijgen? Deze leden ontvangen hier graag een volledige opsomming van.

Antwoord

Het kabinet heeft in de onderhandelingen herhaaldelijk om een impact assessment gevraagd en ook tijdens de Telecomraad van 5 december 2025 hiertoe opgeroepen. Het kabinet ziet weinig kans dat er alsnog aan deze oproep gehoor wordt gegeven aangezien de Commissie in het algemeen geen impact assessments voor omnibussen uitvoert, ook niet na oproepen van lidstaten dit alsnog te doen. Bovendien lijkt er onvoldoende steun om de Commissie hiertoe te blijven oproepen.

Zoals aangegeven in de beantwoording van vraag 1 zet het kabinet erop in de voorstellen die verdergaan dan versimpeling te behandelen op een wijze die recht doet aan de potentiële impact en de zorgpunten. Een formeel impact assessment is niet de enige manier om deze inzet te bewerkstelligen. Het kabinet heeft de Commissie verzocht een uitgebreidere analyse van de impact van deze voorstellen te presenteren. Ook brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart en hecht het zeer aan het gezamenlijke advies van de EDPB en EDPS.

Welke mogelijkheden bent u voornemens om in te zetten?

Antwoord

Het kabinet spant zich er met name voor in om voldoende informatie te verkrijgen om de voorstellen goed te kunnen beoordelen. Een formeel impact assessment is niet de enige manier om deze inzet te bewerkstelligen. Het kabinet heeft in de onderhandelingen en via bilaterale gesprekken over verschillende onderdelen van de omnibussen opheldering gevraagd. Ook brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart en heeft het kabinet verzocht de adviezen van de EDPS en de EDPB bij de onderhandelingen te betrekken. Dat laatste gebeurt inmiddels.

Ziet u kansen om hierbij allianties met andere landen te vormen? Deze leden ontvangen graag een toelichting.

Antwoord

Niet voor een specifieke oproep voor een impact assessment. De oproep voor meer informatie en onderbouwing bij de voorstellen wordt wel breder gedeeld en wordt deels gefaciliteerd binnen de onderhandelingen.

Ziet u kansen om hierbij een beroep te doen op het Interinstitutioneel Akkoord Beter Wetgeven? Deze leden ontvangen graag een toelichting.

Antwoord

Hoe verhouden de Data Unie strategie, de Omnibus Digitaal en de Omnibus AI zich tot de doelstellingen van de Nationale Digitalisering Strategie? Deze leden ontvangen graag een toelichting.

Antwoord

Conform de interventies van de NDS zet het kabinet zich in voor de implementatie van digitale wetgeving en het wegnemen van juridische knelpunten. Overheidsinstanties en medeoverheden staan onder een grote druk om verschillende soort Europese wetgeving op het digitale terrein in samenhang te implementeren en uit te voeren. Het kabinet staat dus vanuit de NDS positief tegenover de Omnibus Digitaal en de Omnibus AI in hun doelstellingen om wet- en regelgeving te versimpelen. Daarnaast onderstreept de Data Unie Strategie het belang van data voor AI en zet het in op het vergroten van interoperabiliteit waarbij privacy en Europese waarden beschermd blijven. Dit sluit goed aan op de doelstellingen van de NDS en in het bijzonder de prioriteit data, waar het wegnemen van knelpunten in gegevensdeling en het federatief datastelsel belangrijke elementen zijn.

De doelstelling van de omnibussen sluiten daarnaast goed aan bij pijler 3 van de Strategie Digitale Economie39. Het verduidelijken, versimpelen en versterken van de samenhang van digitale wetgeving draagt bij aan het creëren van de juiste randvoorwaarden voor goedwerkende digitale markten en diensten.

Welke wet- en regelgeving wordt door deze aanpassingen geraakt, direct dan wel indirect? Worden de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens bijvoorbeeld geraakt?

Antwoord

De Omnibus AI wijzigt de AI-verordening en bevat enkele technische wijzigingen aan de verordening inzake gemeenschappelijke regels op het gebied van burgerluchtvaart en tot oprichting van een Agentschap van de Europese Unie voor de veiligheid van de luchtvaart. Op dit moment wordt gewerkt aan een wetsvoorstel ter uitvoering van de AI-verordening. Dit wetsvoorstel dient na inwerkingtreding van de Omnibus AI mogelijk te worden gewijzigd.

De wetgeving die door de Omnibus Digitaal wordt gewijzigd, onder andere de Dataverordening, Datagovernanceverordening (DGA) en Platform-to-Business(P2B)-verordening, zijn wel al uitgevoerd in Nederland. Afhankelijk van de definitieve inhoud van de Omnibus Digitaal zullen de nationale uitvoeringswetten van deze verordeningen moeten worden aangepast. De voorgestelde wijzigingen uit de Omnibus Digitaal betekenen dat de Uitvoeringswet datagovernanceverordening en de Wet hergebruik van overheidsinformatie (Who) waarschijnlijk moeten worden ingetrokken en dat de Uitvoeringswet dataverordening moet worden gewijzigd, ten dele om de inhoud van de (voormalige) Uitvoeringswet datagovernanceverordening en Who daarin op te nemen. De introductie van hoofdstuk VIIc van de Omnibus Digitaal zal tot het opstellen of het aanpassen van de nationale uitvoeringswetten leiden. Verder wordt door de Omnibus Digitaal de P2B-verordening gefaseerd ingetrokken. Dit heeft tot gevolg dat de Wet publiek toezicht en handhaving verordening bevordering billijkheid en transparantie voor zakelijke gebruikers van onlinetussenhandelsdiensten moet worden aangepast en op termijn moet worden ingetrokken. In Boek 3 van het Burgerlijk Wetboek en het Wetboek van Burgerlijke Rechtsvordering zijn bepalingen opgenomen ter uitvoering van de regels uit de P2B verordening inzake collectieve acties. Deze bepalingen moeten ook worden geschrapt.

De voorgestelde wijzigingen van het Europese gegevensbeschermingsrecht zien in eerste instantie alleen op AVG zelf en niet op de Rechtshandhavingsrichtlijn,40 waarvan de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) de implementatie vormen. Op het moment dat er wijzigingen plaatsvinden in kernbepalingen uit de AVG die ook voorkomen in de richtlijn, zoals de definitie van persoonsgegevens, zal er vanwege de consistentie en coherentie een wijziging nodig kunnen zijn van de Rechtshandhavingsrichtlijn. Het voorstel bepaalt daarom dat na vaststelling van de Digitale omnibus «de nodige aanpassingen» moeten plaatsvinden aan de Richtlijn Gegevensbescherming bij Rechtshandhaving (RGR).41 Dat vergt dan een voorstel van de Commissie om deze richtlijn aan te passen. Om juridische redenen kan dat niet in de Digitale omnibus zelf. Afhankelijk van de definitieve tekst van de Digitale omnibus en van het voorstel is daarom niet ondenkbaar dat er impact zal zijn op de Wpg en Wjsg. Er lijkt echter voldoende steun in de Raad om de wijziging van de definitie van persoonsgegevens terug te draaien.

In het BNC-fiche42 is ten aanzien van de wijzigingen van de AVG aangegeven dat deze voorstellen «mogelijk» dient te leiden tot wijziging van Nederlandse regelgeving, en dat dit nader zal worden onderzocht. Omdat de voorstellen nu echter nog niet definitief zijn, is het moeilijk nu al uitsluitsel te geven over welke aanpassing uiteindelijk nodig zal zijn. Niet uit te sluiten valt bijvoorbeeld dat een wetstechnische aanpassing nodig is van artikel 40 van de Uitvoeringswet AVG in verband met de voorgestelde formulering van artikel 22 AVG inzake geautomatiseerde individuele besluitvorming, tenzij de alternatieve formulering van de EDPB en EDPS wordt overgenomen. Verder biedt het voorgestelde artikel 88c de mogelijkheid om in de nationale wetgeving te bepalen dat voor de verwerking van persoonsgegevens in AI-context uitdrukkelijk toestemming vereist is. Indien Nederland hiervan gebruik zou willen maken, vergt dit een wetswijziging. Er zijn vooralsnog geen indicaties voor overige (substantiële) punten waarbij de voorgestelde wijzigingen van de AVG een wetswijziging met zich zouden kunnen brengen. Verder lijkt de wijziging van de e-Privacyrichtlijn een kleine aanpassing van hoofdstuk 11 van de Telecommunicatiewet te vergen.

Welke uitvoeringsorganisaties worden geraakt door deze aanpassingen? Deze leden ontvangen graag een toelichting.

Antwoord

De overheidsorganisaties die het meest worden geraakt door deze wijzigingen zijn de organisaties die uitvoering geven aan, of toezicht houden op, de wetten die worden gewijzigd. Dat zijn primair de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument en Markt (ACM). Voor wat betreft de opname van de Open Data Richtlijn wordt Logius, als nationaal dataportaal, geraakt door deze wijzigingen. Ook het CBS, als bevoegd orgaan in het kader van hoofdstuk II van de Datagovernanceverordening, wordt mogelijk geraakt door de integratie van dit hoofdstuk in hoofdstuk VIIc van de Omnibus Digitaal.

De AVG zal voor (nagenoeg) alle uitvoeringsorganisaties relevant zijn omdat zij persoonsgegevens verwerken en voor sommige uitvoeringsorganisaties zal de AI-verordening relevant worden omdat zij met (hoog-risico) AI-systemen werken. Ook de opname van de Open Data Richtlijn in de Omnibus Digitaal heeft mogelijk effect op uitvoeringsorganisaties. Het effect van wijzigingen aan deze wetten met als doel om regeldruk te verlagen zou beperkt moeten zijn, zeker als de wijzigingen in lijn met de kabinetsinzet focussen op versimpelen, verduidelijken en stroomlijnen.

Zijn deze uitvoeringsorganisaties geconsulteerd over de effecten die zijn voorzien voor de eigen organisatie en de gebruikers (burgers en bedrijven), en wat was hun visie/oordeel? Deze leden ontvangen graag een toelichting per uitvoeringsorganisatie.

Antwoord

Het kabinet betrekt proactief de toezichthouders op de verschillende wetten. De AP heeft haar positie over de Omnibus Digitaal publiek bekend gemaakt.43 Het kabinet deelt de zorgen die de AP uit over o.a. het wijzigen van de definitie van persoonsgegevens en het schrappen van de registratieplicht voor bepaalde AI-systemen die in hoog-risico context worden ingezet. De ACM heeft aangegeven net als het kabinet kritisch te zijn op het intrekken van de P2B-verordening en werkt samen met het kabinet aan voorstellen om de Europese governance van datawetgeving via de Europese Raad voor Gegevensinnovatie (EDIB) te versterken.

De verschillende departementen betrekken hun uitvoeringsorganisaties bij de totstandkoming van het kabinetsstandpunt. Zoals aangegeven in de beantwoording van vraag 8 worden uitvoeringsorganisaties meer indirect geraakt door de omnibussen. Er is geen volledig overzicht van de oordelen van alle uitvoeringsorganisaties die persoonsgegevens verwerken. De zorgen over de impact van fundamentele wijzigingen aan de AVG zijn ook door sommige uitvoeringsorganisaties en medeoverheden geuit.

Hoe beoordeelt u de Omnibus Digitaal, de Omnibus AI en de Data Unie Strategie in de huidige geopolitieke situatie? Deze leden ontvangen graag een toelichting.

Antwoord

De voorstellen komen voort uit de Europese agenda voor betere regelgeving44. Deze agenda is onderdeel van het bredere plan om het concurrentievermogen van de EU te versterken, zoals uiteengezet door Commissievoorzitter Von der Leyen in haar politieke richtsnoeren voor de zittingsperiode 2024–2029. De Commissie geeft daarin aan, dat zoals benadrukt in het Draghi-rapport, de opeenstapeling van regels soms een negatief effect heeft gehad op het concurrentievermogen. Door de regeldruk van digitale regelgeving te verlagen zouden de voorstellen de concurrentiekracht moeten versterken.

Het verlagen van regeldruk is ook voor het kabinet een belangrijke prioriteit en het kabinet ziet net als de Europese Commissie dat dit kan bijdragen aan het versterken van het concurrentievermogen. Over de omnibussen als geheel verwacht het kabinet dat de omnibussen inderdaad de regeldruk verlagen door simplificatie en daarmee bijdragen aan het versterken van het concurrentievermogen. Zoals aangegeven in het BNC-fiche heeft het kabinet voor enkele onderdelen van de omnibussen heeft het kabinet wel vragen in hoeverre deze effectief de regeldruk verlagen.

Het kabinet oordeelt dat de Data Unie Strategie een positieve bijdrage kan leveren aan digitale autonomie. Pijler 3 van de strategie richt zich specifiek op veilige en betrouwbare internationale datastromen, waarin data als geopolitiek strategisch bezit wordt benaderd. Hierbij geldt: samenwerken waar (en met wie) het kan en beschermen waar nodig,.

Grondrechten in het geding

De leden van de fractie van GroenLinks-PvdA merken op dat het College voor de Rechten van de Mens is vastgesteld als grondrechtenautoriteit Artificiële Intelligentie (AI) in Nederland.45 De Omnibus Digitaal vormt volgens het College «een zorgwekkende ontwikkeling voor de bescherming van grondrechten, zoals het recht op non-discriminatie en gegevensbescherming».46

Kunt u een inhoudelijke reactie geven op deze uitspraak van het College voor de Rechten van de Mens?

Antwoord

Het kabinet deelt de opvatting van het College voor de Rechten van de Mens dat het van belang is om te onderzoeken hoe versimpeling kan plaatsvinden zonder onevenredige impact op grondrechten. Het kabinet ziet dat een aantal voorstellen voor aanpassingen aan de AVG een fundamentele impact kunnen hebben op grondrechten, waaronder het recht op gegevensbescherming. Het kabinet heeft de Commissie verzocht een uitgebreidere analyse van de impact van deze voorstellen te presenteren. Het kabinet heeft daarnaast aangegeven dat het advies van de EDPS en het EDPB, dat 10 februari is vastgesteld, moet worden betrokken bij de bespreking van dit voorstel. Daarmee zet het kabinet erop in de voorstellen die verdergaan dan versimpeling te behandelen op een wijze die recht doet aan de potentiële impact en de zorgpunten.

Kunt u een overzicht geven van alle potentiële aantastingen van grondrechten (uit de Nederlandse Grondwet en Europese wetgeving) die in het geding zijn? Kunt u deze uiteenzetting duidelijk relateren aan de voorgestelde wijzigingen? Deze leden verzoeken u hierbij speciale aandacht te besteden aan artikel 8 van het Handvest van de grondrechten van de Europese Unie.

Antwoord

Zoals aangegeven in het BNC-fiche47, is één van de voorgestelde wijzigingen aan de AVG die de meeste impact lijkt te hebben op het beschermingsniveau van het grondrecht op gegevensbescherming de wijziging van de definitie van het begrip persoonsgegevens. Dit begrip bepaalt immers of de AVG – en alle rechten van betrokkenen – van toepassing is. Dat deze wijziging de meeste impact zou hebben, is inmiddels bevestigd in het advies van de EDPB en EDPS van 10 februari. Zij stellen dat deze wijziging zou leiden tot een aanzienlijke beperking van de reikwijdte van het begrip persoonsgegevens en daarmee van de reikwijdte van de AVG. De EDPB en EDPS adviseren nadrukkelijk om de wijziging van deze definitie niet te aanvaarden. Er lijkt voldoende steun in de Raad om deze wijziging terug te draaien.

Een andere wijziging die impactvol lijkt te zijn, is het voorstel voor het creëren van grondslagen voor het verwerken van (met name bijzondere) persoonsgegevens voor het trainen en exploiteren van AI-systemen. Dit voorstel lijkt nu vast te leggen dat bij de training en exploitatie van een AI-model de grondslag «gerechtvaardigd belang» per definitie is gegeven, zonder dat daarvoor een noodzakelijkheidstoets en de bijbehorende belangenafweging noodzakelijk is. Het kabinet acht een noodzakelijkheidstoets en de bijbehorende belangenafweging bij de toepassing van de grondslag gerechtvaardigd belang echter essentieel om de grondrechten van burgers te waarborgen.

Het voorstel voorziet daarnaast ook in een uitzondering op het verbod op de verwerking van bijzondere categorieën van persoonsgegevens voor het trainen en exploiteren van AI-systemen; ook dit is een voorbeeld van een wijziging met mogelijk grote impact op het beschermingsniveau. Zoals ook uiteengezet in het BNC-fiche, genieten bijzondere persoonsgegevens juist extra bescherming vanwege de gevolgen die de verwerking van deze bijzondere categorieën van persoonsgegevens voor de betrokkenen kunnen hebben. Wanneer deze gegevens mogen worden verwerkt voor genoemd doel, is het extra belangrijk dat er goede randvoorwaarden zijn. Verruiming van deze bevoegdheden zou alleen aan de orde kunnen zijn als de bescherming van fundamentele rechten voldoende gewaarborgd is.

Het voorstel voorziet ook in een grondslag voor de verwerking van bijzondere persoonsgegevens voor het detecteren en corrigeren van bias voor alle AI-systemen. In de huidige tekst van de AI-verordening is deze wettelijke grondslag alleen van toepassing op hoog-risico AI-systemen. Ook hiervoor geldt dat dit alleen aan de orde zou kunnen zijn als de fundamentele rechten voldoende gewaarborgd zijn en de risico’s proportioneel zijn tot het doel van detecteren en corrigeren van bias. Het detecteren en corrigeren van bias in AI-systemen kan het non-discriminatierecht juist versterken.

De EDPB en EDPS stellen in hun advies van 10 februari jl. dat de voorgestelde bepalingen over de verwerking van bijzondere persoonsgegevens in AI-context op tal van punten verbetering behoeven, onder meer om het toepassingsgebied ervan te verduidelijken en om noodzakelijke waarborgen toe te voegen.48

Ondernemingsklimaat

De leden van de fractie van GroenLinks-PvdA merken op dat er niet één allesomvattend optimaal ondernemingsklimaat bestaat dat voor alle typen bedrijven even gunstig is.

Ziet u een spanningsveld tussen de belangen van het Midden- en Kleinbedrijf (MKB) in Nederland en Europa enerzijds en grote (Amerikaanse) techbedrijven anderzijds in deze voorstellen? In hoeverre worden grote spelers bevoordeeld ten opzichte van het MKB? Deze leden ontvangen graag een toelichting.

Antwoord

Het kabinet erkent dat kleinere bedrijven andere uitdagingen ervaren dan grote bedrijven met betrekking tot regeldruk. Grotere bedrijven zijn over het algemeen beter in staat dan kleine bedrijven om complexe regelgeving zelfstandig te interpreteren en toe te passen. Kleinere bedrijven hebben baat bij heldere regels en ondersteuning die het makkelijker maakt regels na te leven.

Zowel binnen de nationale als de Europese agenda voor betere regelgeving49 is daarom bijzondere aandacht voor het mkb. De omnibussen zijn onderdeel van de agenda voor betere regelgeving en bevatten daarom verschillende aanpassingen die er specifiek op zijn gericht naleving van de regels door mkb of small midcapbedrijven makkelijker te maken. Daarnaast zorgt met name de Omnibus AI ervoor dat er meer richtsnoeren worden ontwikkeld, die het makkelijker maken aan de regels te voldoen.

Het kabinet geeft in het BNC-fiche aan dat een aantal voorstellen uit de omnibussen mogelijk niet effectief de regeldruk verlagen. Bij verschillende van deze voorstellen – zoals het Europees meldpunt, bepaalde wijzigingen aan de AVG en de uitzonderingen in de Dataverordening op de bepalingen over overstappen tussen clouddiensten – verwacht het kabinet dat deze met name voor het mkb geen lastenverlichting zullen opleveren. Deze voorstellen lijken de complexiteit van (het naleven van) wetgeving te verhogen of creëren complexe uitzonderingen waar kleinere bedrijven waarschijnlijk minder snel gebruik van zullen maken.

Bent u van mening dat de Digitale Omnibus, de Omnibus AI en de Data Unie Strategie eerlijke concurrentie waarborgen? Of wordt er een rode loper uitgelegd voor de verdienmodellen van grote (Amerikaanse) techbedrijven ten koste van de privacy? Deze leden ontvangen graag een toelichting.

Antwoord

Het kabinet kan veel voorgestelde aanpassingen binnen de omnibussen steunen, omdat deze in lijn met de kabinetsinzet wetgeving versimpelen, verduidelijken en stroomlijnen. Voor deze voorstellen verwacht het kabinet dat deze ook eerlijke concurrentie waarborgen. Zoals aangegeven in de beantwoording van vraag 13 en het BNC-fiche heeft het kabinet bij enkele wijzigingen zorgen dat deze de bescherming van (privacy)grondrechten mogelijk verzwakken en niet bijdragen aan het verlagen van regeldruk. Sommige voorstellen lijken de complexiteit van (het naleven van) wetgeving voor met name kleine bedrijven te verhogen of creëren complexe uitzonderingen waar kleinere bedrijven waarschijnlijk minder snel gebruik van zullen maken. Het kabinet zet erop in deze voorstellen te verbeteren zodat deze effectief bijdragen aan het versimpelen van digitale wetgeving, zonder daarbij afbreuk te doen aan de doelen van de wetgeving.

Ziet u mogelijk nog andere effecten die voor verschillende groepen ondernemers anders uitwerken? Deze leden ontvangen graag een toelichting.

Antwoord

Het primaire effect van de omnibussen is het verlagen van regeldruk. Omdat de wetten die worden gewijzigd zich richten op digitale technologieën en diensten zullen de voorstellen in het algemeen meer impact hebben op bedrijven die meer gedigitaliseerd zijn, met AI werken of veel data verwerken. Behalve deze verschillen en de in de beantwoording op vraag 13 en 14 aangegeven effecten zie het kabinet geen noemenswaardige verschillen tussen groepen ondernemers.

European Digital Rights (EDRi) stelt dat de «vereenvoudiging» nieuwe complexiteit introduceert en dat grote bedrijven de juridische afdelingen hebben om deze mazen in de wet op te zoeken, terwijl het MKB in onzekerheid achterblijft.50 Kunt u hierop reflecteren?

Antwoord

Zoals aangegeven in de beantwoording van vraag 13 en vraag 14 ziet het kabinet dat veel voorgestelde aanpassingen wetgeving versimpelen, verduidelijken en stroomlijnen, ook voor het mkb. Voor een aantal voorgestelde aanpassingen – zoals het Europees meldpunt en de gewijzigde definitie van persoonsgegevens – verwacht het kabinet dat deze met name voor het mkb geen lastenverlichting zullen opleveren.

De leden van de fractie van GroenLinks-PvdA lezen dat grote techbedrijven ruim 150 miljoen per jaar uitgeven aan de lobby voor hun belangen in Europa.51 Heeft u zicht op deze lobby? Hoe beoordeelt u de invloed van deze lobby, waarbij vertraging, versoepeling en herformulering een belangrijke rol speelt bij de totstandkoming van de voorstellen? Deze leden ontvangen graag een toelichting.

Antwoord

Net als vele andere stakeholders lobbyen grote techbedrijven actief bij de totstandkoming van digitale wetgeving. Het is gebruikelijk dat overheden input van stakeholders gebruiken bij het opstellen van beleid en wetgeving. Het is wel van belang dat hierbij een brede en diverse groep stakeholders wordt geconsulteerd.

Het kabinet ziet dat ook bij de totstandkoming van deze voorstellen een brede groep stakeholders is geconsulteerd. In het SWD dat tegelijk met de omnibusvoorstellen is gepresenteerd52 geeft de Commissie onder andere in Annex I inzicht welke stakeholders het heeft geconsulteerd. Dit betreft een brede groep stakeholders, variërend van burgerrechtenorganisaties tot grote techbedrijven. Het kabinet ziet niet dat grote techbedrijven een onevenredige invloed op deze voorstellen hebben gehad. Sommige techbedrijven en belangengroepen die techbedrijven vertegenwoordigen hebben ook aangegeven niet tevreden zijn met de omnibussen.53

Antwoord

De voorgestelde wijzigingen die in het artikel55 worden benoemd zijn over het algemeen wijzigingen waar het kabinet kritisch op is of zorgen over heeft omdat ze doelen van de wetgeving afzwakken, afbreuk doen aan het niveau van gegevensbescherming en in veel gevallen niet lijken bij te dragen aan het verlagen van de regeldruk. Dit is in het BNC-fiche over de voorstellen toegelicht.

In het kader van transparantie is het belangrijk om ook zicht te hebben op de lobby in Nederland. Welke contacten heeft de Nederlandse regering en/of de ambtelijke ondersteuning gehad met lobbyisten van techbedrijven om de standpunten te bepalen? Deze leden ontvangen graag een toelichting.

Antwoord

Zoals gebruikelijk heeft het kabinet bij en sinds de totstandkoming van het kabinetsstandpunt contact met een brede groep stakeholders. Ambtelijk is er in dat kader ook contact geweest met techbedrijven. Naar mijn weten zijn er voor de totstandkoming van het kabinetsstandpunt op politiek niveau geen gesprekken geweest met lobbyisten van grote Amerikaanse techbedrijven specifiek over deze omnibussen.

Wijzigingen bevoegdheden

De leden van de fractie van GroenLinks-PvdA wijzen erop dat de in de Omnibus Digitaal voorgestelde bevoegdheden voor de Commissie om op grond van de AVG een aantal uitvoeringshandelingen vast te stellen, leidt tot een verschuiving van bevoegdheden van de onafhankelijke toezichthouders en de EDPB naar de Europese Commissie. Het betreft bevoegdheden voor de Europese Commissie om standaarden voor datalekmeldingen en omschrijving van hoog risico gevallen voor datalekken vast te stellen (art. 3, lid 8, sub c), om uitvoeringshandelingen vast te stellen over de gevallen waarin Data Protection Impact Assessments (DPIA’s) verplicht zijn (art. 3, lid 9, sub b) en om uitvoeringshandelingen vast te stellen om criteria en middelen te omschrijven om zo te bepalen wanneer er geen sprake meer is van persoonsgegevens bij pseudonimisering (art. 3, lid 10). In het BNC-fiche lezen deze leden dat de regering «hier een risico ziet van meer politieke besluitvorming, wat niet vanzelfsprekend past bij een verordening die mede strekt tot grondrechtenbescherming». Deze leden zien dit risico ook en vinden dit een zeer onwenselijke ontwikkeling. Deze leden lezen voorts in het BNC-fiche dat het toekennen van de bevoegdheid van artikel 3, lid 10 van het voorstel aan de Commissie «niet mogelijk» is volgens de regering. Omdat deze uitvoeringshandelingen die de Commissie op basis van dit artikel zou kunnen vaststellen betrekking hebben op de definitie van persoonsgegevens (artikel 41a), betreft dit een essentieel onderdeel van de basishandeling, dat zich «niet leent» voor uitwerking in uitvoeringshandelingen, aldus de regering. Dergelijke uitvoeringshandelingen zouden bovendien mogelijk betrekking hebben op de reikwijdte van het grondrecht op bescherming van persoonsgegevens. De AVG is immers een uitwerking van het recht op gegevensbescherming. Daarnaast krijgt de Commissie in artikel 1, lid 25, sub c, van het voorstel de bevoegdheid om uitvoeringshandelingen vast te stellen waarin handhavingsbevoegdheden van de Europese Commissie worden bepaald, waaronder het opleggen van boetes en andere sancties (wijziging van artikel 75 van de AI-verordening). Ook het toekennen van deze bevoegdheid om handhavingsbevoegdheden vast te stellen is «niet mogelijk» volgens de regering. De regering acht het toekennen van handhavingsbevoegdheden aan de Europese Commissie, waarbij een evenwicht moet worden gevonden tussen de uiteenlopende belangen die aan de orde zijn, «niet acceptabel».

Er worden in het BNC-fiche verschillende termen gebruikt om de wijziging van de bevoegdheden van de Europese Commissie te duiden, waaronder «niet leent», «niet acceptabel» en «niet mogelijk». Kunt u een preciezer juridisch oordeel geven over alle voorgestelde wijzigingen van de bevoegdheden? Deze leden ontvangen daarbij graag per wijziging van bevoegdheid een afzonderlijk oordeel, evenals een nadere juridische duiding van het mogelijk effect op de reikwijdte van het recht op bescherming van persoonsgegevens.

Antwoord

Het kabinet brengt de zorgen over de verschuiving van bevoegdheden naar de Commissie – zoals omschreven in het BNC-fiche – naar voren tijdens de onderhandelingen en pleit voor behoud van deze bevoegdheden voor de EDPB. Het kabinet voelt zich hierin onder meer gesterkt door het advies van de EDPB en EDPS van 10 februari jl., die hebben aanbevolen om de Commissie geen rol te geven bij de vaststelling van de lijsten over wanneer DPIA’s of meldingen van datalekken verplicht zijn, en ook niet bij criteria inzake pseudonimisering. Er lijkt voldoende steun in de Raad om deze bevoegdheden voor de EDPB te behouden.

Voor elk van deze bepalingen geldt dat zij volgens het kabinet niet in lijn zijn met de onderlinge verhoudingen tussen de organen van de EU, het stelsel van toezicht en de scheiding der machten. Voor wat betreft de uitvoeringshandelingen inzake pseudonimisering op grond van het voorgestelde artikel 41a AVG is bovendien van belang dat fundamentele rechten volgens jurisprudentie van het Hof van Justitie van de EU (HvJEU) niet kunnen worden beperkt door middel van uitvoeringshandelingen.56 Met het voorgestelde artikel 41a AVG zou daarvan sprake kunnen zijn omdat de uitvoeringshandelingen verband zouden houden met de definitie van persoonsgegevens en aldus feitelijk het toepassingsbereik van de AVG zouden bepalen, doordat pseudonimisering zou worden gebruikt om aan te tonen dat de AVG niet van toepassing is.

Wat is uw strategie om dit onderdeel van de Omnibus Digitaal aangepast te krijgen?

Antwoord

Hiervoor verwijs ik u graag naar het antwoord op vraag 20. Er lijkt voldoende steun in de Raad om deze bevoegdheden voor de EDPB te behouden.

Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?

Antwoord

Zoals aangegeven in het antwoord op vraag 20 lijkt er voldoende steun in de Raad om deze bevoegdheden voor de EDPB te behouden.

Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal?

Antwoord

Het kabinet zal op basis van het uiteindelijke onderhandelingsresultaat beoordelen of de omnibus als geheel voldoende in lijn is met de Nederlandse inzet. De inzet van het kabinet is om deze bevoegdheden niet bij de Commissie te beleggen en dit zal een (belangrijke) factor zijn in het beoordelen van het totale voorstel.

Nationale veiligheid

De leden van de fractie van GroenLinks-PvdA merken op dat door de inrichting van een Europees meldpunt een deel van de nationale dienstverlening rondom incidentenafhandeling verschuift naar Europees niveau. Dit geldt ook voor meldingen onder de NIS2 en CER, waar incidenten bij de rijksoverheid en vitale infrastructuur gevoelige informatie omtrent nationale veiligheid kunnen bevatten. In het BNC-fiche wordt benadrukt dat «nationale meldstructuren, waarbij lidstaten de directe en primaire ontvanger van incidentinformatie blijven, behouden moeten blijven». Ook staat in het BNC-fiche dat de regering daarnaast zorgen heeft «omtrent beveiligingsrisico’s als het gaat om het centraliseren van dergelijke meldplichten binnen één meldpunt. Het verwerken van zeer gevoelige meldingen, en in het bijzonder incidentinformatie van 27 lidstaten is namelijk erg kwetsbaar en een zaak van nationale veiligheid. Daarbij ziet het kabinet ook risico’s ten aanzien van de afhankelijkheid van de continuïteit van een platform dat op EU-niveau wordt beheerd».

Kunt u nader toelichten welke kwetsbaarheden in het kader van de (nationale) veiligheid voorzien worden?

Antwoord

Het kabinet acht het van belang om te melden dat de meldplicht als bedoeld in de NIS2-richtlijn alleen geldt voor significante incidenten. Een incident is significant als het een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken óf andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. Dit betekent dat de inhoud van de gedane meldingen gevoelige informatie zal kunnen bevatten, die mogelijk ook de nationale veiligheid kan raken. Deze meldingen zullen, na inwerkingtreding van de Cyberbeveiligingswet, moeten worden gedaan bij zowel het CSIRT als de bevoegde autoriteit. Hiervoor zal door de Minister van Justitie en Veiligheid een meldpunt worden ingericht, waarbij ook de nodige waarborgen zijn ingebouwd om op een veilige manier de meldingsinformatie te ontvangen.

Het kabinet acht het centraliseren van de meldplicht binnen één Europees meldpunt kwetsbaar, omdat het voor kwaadwillenden, ingeval zij erin slagen ongeoorloofde toegang te krijgen tot dit Europese meldpunt, op deze wijze mogelijk is om op Europese – en daarmee grote – schaal inzicht te krijgen in de meldingen van 27 lidstaten. Op deze wijze kan de verkregen gebundelde informatie uitgebuit worden en de continuïteit van een platform dat op EU-niveau wordt beheerd in gevaar worden gebracht. Dit maakt niet alleen onze digitale veiligheid, maar ook onze nationale veiligheid kwetsbaar.

Wat is uw strategie om dit onderdeel van de Omnibus Digitaal aangepast te krijgen?

Antwoord

Het kabinet zal zich inspannen om te bezien of het oprichten, beheren en beveiligen van een meldpunt voor verschillende soorten wetgeving past binnen het mandaat, de capaciteit en de verantwoordelijkheid van ENISA. Daarnaast zal het kabinet binnen de onderhandelingen de voordelen en mogelijkheden van het nationaal in te richten meldpunt benadrukken en aansluiting zoeken bij lidstaten met een vergelijkbare positie.

Hoe ligt het Europese krachtenveld rondom deze aanpassingen?

Antwoord

Het kabinet verwacht dat een aantal lidstaten zorgen zal uiten over de oprichting van een Europees meldpunt. Het kabinet zal zich tijdens de onderhandelingen verder inspannen om aansluiting te zoeken bij lidstaten met een vergelijkbare positie.

Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal?

Antwoord

Het Kabinet kan vooralsnog geen uitspraak doen over de instemming aangezien de onderhandelingen nog lopen en er nog vragen zijn gesteld over de geschiktheid van dit onderdeel, in het licht van de verlaging van de regeldruk. Het kabinet verwacht namelijk dat het verlagen van regeldruk meer efficiënt en tijdig kan worden bereikt door voort te bouwen op bestaande nationale oplossingen in plaats van het organiseren van een Europees meldpunt. Nationale meldstructuren en meldpunten sluiten aan bij de manier van samenwerken en communiceren die entiteiten hebben met de Nederlandse overheid. Het kabinet zal zich actief inzetten voor het behoud van deze nationale meldstructuren.

Is er inmiddels meer helderheid over de geconstateerde onduidelijkheden?

Antwoord

Over de geconstateerde onduidelijkheden is nog geen helderheid verkregen; wij hopen dat het verdere onderhandelingsproces hierin duidelijkheid zal verschaffen.

Heeft u een nader oordeel over de proportionaliteit van dit onderdeel?

Antwoord

Het kabinet twijfelt nog steeds over de geschiktheid van een Europees meldpunt om de regeldruk te verlagen. Het kabinet acht het oprichten van een Europees meldpunt niet proportioneel en gaat bovendien verder dan wat nodig is om de beoogde doelstelling te verwezenlijken: het kabinet verwacht dat het verlagen van regeldruk meer efficiënt en tijdig kan worden bereikt door voort te bouwen op bestaande nationale meldpunten in plaats van het organiseren van een Europees meldpunt. Zo wordt op nationaal niveau al gewerkt aan harmonisatie van de inrichting van de meldplicht, en daarmee het beperken van de regeldruk, voor de NIS2 en CER-meldingen.

Uitstellen verplichtingen met betrekking tot hoog risico AI-systemen

De EDPB en de EDPS hebben in een gezamenlijke opinie over de Omnibus AI gepleit om de verplichtingen volgens de oorspronkelijke planning in te laten gaan. De leden van de fractie van GroenLinks-PvdA maken zich, gezien de razendsnelle ontwikkelingen van AI -systemen, zorgen over het uitstellen van de verplichtingen met betrekking tot hoog risico AI -systemen. Met deze voorstellen worden verplichtingen met respectievelijk zestien maanden en twaalf maanden vertraagd, waarbij de inwerkingtreding wordt gekoppeld aan een Commissiebesluit.

Hoe oordeelt u over dit advies van de EDPB en de EDPS? Deze leden ontvangen graag een toelichting.

Antwoord

Zoals aangegeven in het non-paper over regeldruk en digitale wetgeving, heeft het kabinet de voorkeur dat er spoedig ondersteuningsmiddelen worden ontwikkeld om te verduidelijken wat nodig is om aan de verplichtingen uit de AI-verordening te voldoen, dan dat inwerkingtreding wordt uitgesteld. De ontwikkeling van deze ondersteuningsmiddelen duurt echter langer dan voorzien. Dat is een belangrijke reden dat de Europese Commissie de inwerkingtreding van de verplichtingen heeft uitgesteld.

Deelt u de zorgen van deze leden? Zo nee, waarom niet?

Antwoord

Het kabinet ziet liever korter uitstel voor hoog-risico AI-systemen in bijlage III. Er lijkt in de Raad onvoldoende steun om het uitstel van de inwerkingtreding van deze bepalingen te verkorten. Alhoewel het kabinet een voorkeur heeft voor korter uitstel van de inwerkingtreding van deze bepalingen, ziet zij ook dat deze bepalingen niet effectief de risico’s van AI-systemen inperken als voor organisaties onduidelijk is hoe ze aan de verplichtingen moeten voldoen. Met name kleinere organisaties hebben ondersteuning nodig om te kunnen voldoen aan de verplichtingen voor hoog-risico AI-systemen, bijvoorbeeld in de vorm van standaarden en richtsnoeren.

Kunt u een inschatting maken van de mogelijke effecten, waaronder op ondernemers die door deze aanpassing geen vaste invoeringsdatum kennen?

Antwoord

Het kabinet zet erop in dat wordt vastgehouden aan vaste data voor inwerkingtreding van de bepalingen voor hoog-risico AI. De koppeling van inwerkingtreding aan een Commissiebesluit brengt onzekerheid met zich mee. Hiervoor lijkt voldoende steun in de Raad. Zoals aangegeven in de beantwoording van vraag 31 ziet het kabinet dat deze bepalingen niet effectief de risico’s van AI-systemen inperken als voor organisaties onduidelijk is hoe ze aan de verplichtingen moeten voldoen. Met name kleinere organisaties hebben ondersteuning nodig om te kunnen voldoen aan de verplichtingen voor hoog-risico AI-systemen, bijvoorbeeld in de vorm van standaarden en richtsnoeren.

Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?

Antwoord

Er lijkt voldoende steun in de Raad voor vaste data voor inwerkingtreding van de bepalingen over hoog-risico AI. Er lijkt brede steun onder lidstaten om de inwerkingtreding van de bepalingen over hoog-risico AI, zoals voorgesteld door de Commissie, met 12 en 16 maanden uit te stellen.

Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus AI?

Antwoord

Het kabinet zal op basis van het uiteindelijke onderhandelingsresultaat beoordelen of de omnibus als geheel voldoende in lijn is met de Nederlandse inzet.

Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Met name voor kleinere organisaties in de EU levert het moeten voldoen aan de eisen uit de AI-verordening een extra last op. Zij zijn daarbij afhankelijk van de beschikbaarheid van technische standaarden, die op dit moment nog niet af zijn. Grote techbedrijven hebben relatief meer middelen tot hun beschikking om te kunnen voldoen aan (nieuwe) wetgeving dan kleinere (Europese) organisaties.

Het kabinet is daarom niet per definitie tegen uitstel van de hoog-risico eisen. Het is daarbij wel belangrijk dat dit op een duidelijke en transparante manier gebeurt, zodat organisaties in de EU weten waar ze aan toe zijn.

Deze leden horen veel zorgen over de zogenaamde AI-gedreven «nudifier» tools. Deelt u deze zorgen? Zo nee, waarom niet?

Antwoord

Ja, deze zorgen deel ik. Het is schrijnend dat met AI gedreven uitkleed tools op grote schaal deepnudes worden gegenereerd. Dat veel mensen, met name vrouwen en minderjarigen, slachtoffer zijn geworden is zorgwekkend.

Is de regering bereid om in Europa te pleiten voor een verbod op deze tools, bijvoorbeeld in artikel 5 van de AI-verordening?

Antwoord

Er is nog weinig bekend over de effectiviteit van een mogelijk verbod, de wijze waarop dit vorm kan krijgen en de handhavingsmogelijkheden. Binnen het Ministerie van Justitie en Veiligheid wordt gekeken naar de mogelijkheden om het gebruik van nudify applicaties verder tegen te gaan. Hierbij wordt ook bezien of het wenselijk en haalbaar is om het aanbieden van de applicaties zelf te verbieden, nationaal dan wel Europees, zoals bijvoorbeeld via de AI-verordening.

Hoe oordeelt u over het advies van de EDPB en de EDPS? Deze leden ontvangen graag een toelichting.

Antwoord

De EDPB en de EDPS benadrukken in hun opinie dat de registratie van systemen waarvan de aanbieder oordeelt dat deze slechts een bijkomende functie hebben en daarom geen hoog-risico AI-systeem zijn, een belangrijke bron is voor toezichthouders in het kader van hun toezicht. Indien deze registratieplicht verdwijnt, zullen toezichthouders meer middelen moeten inzetten om te achterhalen waar in de samenleving deze AI-systemen worden gebruikt.

Tegelijkertijd benoemen de EDPB en de EDPS dat het registreren van deze AI-systemen een verplichting met een zeer beperkte last is, zeker omdat de aanbieder wel nog steeds intern het oordeel dat een AI-systeem niet hoog-risico is moet documenteren.

Het kabinet deelt deze lezing van de EDPB en de EDPS. De zorgen over het schrappen van de registratieplicht en de beperkte lastenverlichting zijn beide genoemd in het BNC-fiche van het kabinet.

Wat is uw proportionaliteitsoordeel op dit onderdeel?

Antwoord

Zoals aangegeven in het antwoord op vraag 38 ziet het kabinet dat dit onderdeel slechts beperkte lastenverlichting oplevert en wel het toezicht op bepaalde AI-systemen, die mogelijk een hoog-risico vormen, aanzienlijk bemoeilijkt. Het kabinet ziet deze specifieke voorgestelde maatregel daarom als disproportioneel.

Kunt u een nadere toelichting geven op de wijze waarop het toezicht bemoeilijkt wordt en wat de gevolgen daarvan kunnen zijn?

Antwoord

Zoals aangegeven in beantwoording van vraag 38 is de registratie van systemen waarvan de aanbieder oordeelt dat deze slechts een bijkomende functie hebben en daarom geen hoog-risico AI-systeem zijn, een belangrijke bron voor toezichthouders in het kader van hun toezicht. Indien deze registratieplicht verdwijnt, zullen toezichthouders meer middelen moeten inzetten om te achterhalen waar in de samenleving deze AI-systemen worden gebruikt. Toezichthouders hebben daardoor minder zicht of aanbieders van deze AI-systemen terecht concluderen dat het AI-systeem geen hoog-risico vormt, ondanks dat het in een hoog-risico context wordt gebruikt.

Wat is uw strategie om dit onderdeel van de Digitale Omnibussen aangepast te krijgen?

Antwoord

Het kabinet pleit voor behoud van deze registratieplicht.

Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?

Antwoord

Er lijkt voldoende steun in de Raad om deze registratieplicht in stand te houden.

Is aanpassing van dit onderdeel een harde randvoorwaarde voor u om in te kunnen stemmen met de Omnibus AI?

Antwoord

Het kabinet zal de uiteindelijke Omnibus AI in zijn geheel wegen en op basis daarvan bepalen of zij met de Omnibus AI kan instemmen. Het kabinet is positief over de verwachte Raadspositie, waarin deze registratieplicht waarschijnlijk in stand zal blijven.

De laatste maanden is er veel te doen over digitale autonomie en minder afhankelijkheid van de grote (Amerikaanse) techbedrijven. Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Zoals aangegeven in het antwoord op vragen 38 tot en met 43, ziet het kabinet het schrappen van deze registratieplicht als een beperkte lastenverlichting die niet opweegt tegen het verminderen van de transparantie bij deze AI-systemen. Deze aanpassing heeft daarmee een beperkte invloed op het concurrentievermogen van Europese organisaties en deze maatregel is ook minder relevant voor het versterken van de digitale open strategische autonomie.

De leden van de fractie van GroenLinks-PvdA merken op dat het belangrijk is om een goed niveau van toezicht te borgen. De EDPB en EDPS uiten zorgen over de positie van de nationale toezichthouders (o.a. verlies bevoegdheden en onafhankelijkheid) en de taakafbakening van en de samenwerking met het AI-bureau. Ook zijn er grote zorgen over het gebrek aan capaciteit bij zowel de nationale toezichthouders als het AI-bureau om duizenden bedrijven te controleren op wat er «onder de motorkap» van een AI-systeem gebeurt.

Hoe oordeelt u over de zorgen van de EDPB en EDPS? Deze leden ontvangen graag een toelichting.

Antwoord

Het kabinet zet in op een duidelijke afbakening van de taken van het AI Bureau. Voor wat betreft de capaciteit voor toezichthouders is in het algemeen van belang dat er voldoende capaciteit beschikbaar is voor toezichthouders. Specifiek voor de AI-verordening moet de structurele benodigde capaciteit voor toezicht op de AI-verordening in Nederland nog worden vastgesteld en toegekend.

Het kabinet is actief met de aan te wijzen toezichthouders in gesprek om te bepalen wat de benodigde middelen zijn voor de uitvoering van het toezicht. Bij het starten van de internetconsultatie van de Nederlandse uitvoeringswet voor AI-verordening, waar de bevoegdheden en taken van de toezichthouders in zijn vastgelegd, worden de voorgestelde toezichthouders gevraagd uitvoerings- en handhavingstoetsen op te stellen. Hiermee krijgt het kabinet een nog duidelijker beeld van de capaciteit die nationaal benodigd is voor de toezichthoudende taak.

Wat is volgens u nodig aan capaciteit (nationaal en Europees) om de toezichthoudende taak goed uit te voeren? Deze leden ontvangen graag een toelichting.

Antwoord

In het SWD geeft de Commissie aan 50 extra FTE nodig te hebben voor de voorgestelde aangepaste toezichthoudende taken. Het kabinet ziet dit op basis van de informatie in het SWD in principe als een realistische inschatting. Wel is het daarbij belangrijk dat de bevoegdheid van de Commissie duidelijk is afgebakend.

Op nationaal niveau is het kabinet zoals aangegeven in de beantwoording van vraag 45 actief met de aan te wijzen toezichthouders in gesprek om te bepalen wat de benodigde middelen zijn voor de uitvoering van het toezicht.

Is goed toezicht een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal en de Omnibus AI?

Antwoord

Zoals altijd wordt het gehele pakket dat voorligt beoordeeld. De verordening schrijft voor dat de lidstaten voor voldoende middelen moeten zorgen om de toezichthouders in staat te stellen hun taak goed uit te voeren. Datzelfde geldt uiteraard ook voor de Commissie ten aanzien van het toezicht dat de AI Office uitoefent.

In het BNC-fiche lezen deze leden verder: «Het voorstel zal implicaties hebben voor het toezicht op verschillende Europese regelgeving, dat nationaal is ingericht. Naar verwachting kunnen die taken worden ondergebracht bij de toezichthouders die nu al op deze Europese regelgeving toezien. Daarbij wordt gezocht naar de meest doeltreffende en doelmatige oplossing. Of de aanpassingen de kosten voor het toezicht en de handhaving zullen verhogen of verlagen is nog niet duidelijk. Het voorstel bevat ook enkele bepalingen die de AVG wijzigen en er mogelijk voor zullen zorgen dat er meer meldingen ontstaan bij de toezichthoudende autoriteit en de rechtspraak. Het kabinet verwacht niet dat er een omvangrijke verhoging in kosten van toezicht en handhaving zal zijn. Het versimpelen van de regels kan ook handhaving en toezicht vergemakkelijken. Het kabinet zal dit verder onderzoeken en opheldering vragen bij de Europese Commissie. De budgettaire gevolgen voor de Rijksbegroting worden ingepast op de begroting van de beleidsverantwoordelijke departementen, volgens de regels van de budgetdiscipline. Daarbij dient ook rekening gehouden te worden met medeoverheden».

Is dit nader onderzoek reeds afgerond? Zo ja, wat is daarvan de uitkomst?

Antwoord

Gezien de snelheid van de onderhandelingen is de inhoud van de omnibussen continu aan verandering onderhevig. Er kunnen dus nog geen definitieve conclusies worden getrokken over eventuele veranderingen in kosten voor toezicht en handhaving als gevolg van de omnibussen. Het kabinet verwacht nog steeds niet dat er als gevolg van de omnibussen een omvangrijke verhoging in kosten van toezicht en handhaving zal zijn. Het versimpelen van de regels kan ook handhaving en toezicht vergemakkelijken.

Hoe verhoudt de passage in het BNC-fiche zich tot de zorgen over de handhaafbaarheid vanuit de toezichthouders? Deze leden ontvangen graag een toelichting.

Antwoord

De primaire zorgen met betrekking tot handhaafbaarheid zien op enkele voorgestelde wijzigingen aan de AVG. Dat wordt gereflecteerd doordat wordt gesteld dat deze wijzigingen er mogelijk voor zullen zorgen dat er meer meldingen ontstaan bij de toezichthoudende autoriteit. Deze wijzigingen kunnen mogelijk leiden tot een toename van het aantal meldingen bij de toezichthouder.

Definitie persoonsgegevens en trainen AI-modellen

Hoe beoordeelt u deze adviezen?

Antwoord

Kunt u nogmaals reflecteren op de proportionaliteit van de aanpassingen aan de AVG na het lezen van de adviezen van de EPDB en EDPS?

Antwoord

In de gezamenlijke opinie van de EDPS/EDPB over de Digitale Omnibus wordt kritisch geoordeeld ten aanzien van de proportionaliteit van de aanpassingen aan de AVG. Bij gebrek aan impact assessments van de Commissie zelf, helpt dit om een oordeel te vellen over de evenredigheid van de voorstellen. Zoals is aangegeven in het BNC-fiche, is één van de voorgestelde wijzigingen aan de AVG die de meeste impact lijkt te hebben op het niveau van gegevensbescherming, de wijziging van de definitie van het begrip persoonsgegevens. Dit begrip bepaalt immers of de AVG – en alle rechten van betrokkenen – van toepassing is. Dat deze wijziging de meeste impact zou hebben, is inmiddels bevestigd in het advies van de EDPB en EDPS van 10 februari. Zij stellen dat deze wijziging zou leiden tot een aanzienlijke beperking in de reikwijdte van het begrip persoonsgegevens en aldus van de reikwijdte van de AVG. De EDPB en EDPS adviseren met klem om de wijziging van deze definitie niet te aanvaarden. Hiervoor lijkt voldoende steun in de Raad. Ook op andere punten vindt het kabinet steun in de gezamenlijke opinie van de EDPS/EDPB, zoals onder meer het voorstel waarmee «gerechtvaardigd belang» per definitie als grondslag lijkt te zijn gegeven voor het verwerken van persoonsgegevens voor het trainen en exploiteren van AI-systemen zonder dat daarvoor een noodzakelijkheidstoets en de bijbehorende belangenafweging noodzakelijk is. Andere voorbeelden zijn de kritische opmerkingen van de EDPB/EDPS over bijvoorbeeld de definitie van wetenschappelijk onderzoek, nieuwe bevoegdheden van de Europese Commissie tot uitvoeringshandelingen en de beperking van het inzagerecht.

Wat betekent dit voor het oordeel van de regering ten aanzien van de proportionaliteit van de Omnibus Digitaal en de Omnibus AI? Deze leden ontvangen graag een toelichting.

Antwoord

Zoals genoemd onder vraag 51, helpt de opinie bij het vormen van een oordeel over de proportionaliteit van de Omnibus Digitaal, zoals eerder ook de opinie over de Omnibus AI heeft geholpen. Net als het kabinet, zijn de EDPB en de EDPS kritisch op verschillende voorstellen uit de Omnibus digitaal omdat deze afbreuk doen aan de bescherming van grondrechten, zonder dat ze effectief bijdragen aan het verlagen van regeldruk. Het kabinet ziet dit dan ook als steun voor die positie.

Wie is verantwoordelijk voor de beoordeling of de ontvanger niet over voldoende middelen beschikt om de persoon te identificeren; de afzender of de ontvanger? Wat betekent dit praktisch in de hele keten van informatie-uitwisseling?

Antwoord

Volgens de systematiek van de AVG is de verwerkingsverantwoordelijke verantwoordelijk voor de rechtmatige verwerking van persoonsgegevens en dient hij te kunnen aantonen dat hij aan de vereisten voldoet. Uitgaande van de voorgestelde wijziging, is er geen sprake van verwerking van persoonsgegevens door de ontvanger op het moment dat de ontvanger niet over voldoende middelen beschikt om de persoon te identificeren. Beschikt de ontvanger wel over die middelen, dan is er gewoon sprake van verwerking van persoonsgegevens en rusten er plichten op zowel de verzender als de ontvanger op grond van de AVG. Zowel de afzender als de ontvanger zijn dus verantwoordelijk voor deze beoordeling. Dit blijft zich herhalen in de keten van informatie-uitwisseling. De voorgestelde wijziging van het begrip persoonsgegevens zou het makkelijker maken voor schakels in ketens van informatie-uitwisseling om te beargumenteren dat gegevens vanuit hun perspectief bezien geen persoonsgegevens zijn.

Er is ook veel data die niet direct, maar indirect gegevens onthult. Bijvoorbeeld politieke voorkeur die afgeleid kan worden uit reacties en likes op een platform. Ook indirecte gegevens zoals locatiegegevens, surfgedrag, of aankoopgeschiedenis kunnen makkelijker worden gebruikt. Wat betekent deze aanpassing voor het beschermingsniveau? Deze leden ontvangen graag een toelichting.

Antwoord

Onder de voorgestelde wijziging blijven indirect identificerende gegevens onder de definitie van persoonsgegevens vallen. In dit opzicht is er dus geen wijziging.

In het begin november jl. gelekte concept van het Commissievoorstel werd de reikwijdte van de definitie van bijzondere categorieën van persoonsgegevens weliswaar beperkt tot direct identificerende persoonsgegevens, waarmee indirect identificerende persoonsgegevens zouden worden uitgesloten. Deze wijziging is geen onderdeel van het officiële Commissievoorstel van 19 november jl.

De Autoriteit Persoonsgegevens (AP) waarschuwt voor het risico op grootschalige surveillance als indirecte identificatie niet meer onder de AVG valt. Het wordt makkelijker om op basis van «anonieme» data profielen te maken die in de praktijk alsnog naar individuen herleidbaar zijn, wat kan leiden tot ongewenste monitoring. Hoe oordeelt u over dit risico? Deze leden ontvangen graag een toelichting.

Antwoord

Zoals aangegeven in de beantwoording van vraag 54 blijven onder de voorgestelde wijziging indirect identificerende gegevens onder de definitie van persoonsgegevens vallen.

De EDPB en EDPS waarschuwen dat de «versmalling» van de definitie van persoonsgegevens een juridisch gat creëert: als data niet langer als «persoonlijk» wordt gezien, vervallen alle AVG-waarborgen automatisch, waardoor de nieuwe «extra» regels weinig effect hebben. Hoe oordeelt u over dit risico?

Antwoord

Het kabinet deelt de analyse van de EDPB en EDPS dat versmalling van de definitie van persoonsgegevens er in specifieke gevallen toe kan leiden dat data niet langer als persoonsgegevens kunnen worden gezien, wat zou betekenen dat de AVG niet van toepassing is.

Hoe oordeelt u over deze aanpassing als geheel?

Antwoord

Het kabinet ziet dat deze nieuw voorgestelde definitie vragen oproept en dat de gevolgen hiervan niet direct duidelijk zijn. Volgens de Commissie zou de wijziging een codificatie van het SRB-arrest betreffen, maar op basis van de eerste analyse van het kabinet gaat het voorstel verder dan een codificatie.57 Het voorstel lijkt namelijk een wijziging aan te brengen ten opzichte van een overweging van het Hof van Justitie van de Europese Unie over de vraag of gepseudonimiseerde gegevens ook in meerdere schakels van een keten als persoonsgegevens moeten worden beschouwd.58 Sommige elementen uit de jurisprudentie lijken in de voorgestelde definitie te ontbreken, zoals het feit dat de specifieke entiteit die de gegevens verwerkt, via derde partijen toegang kan verkrijgen tot identificatiemiddelen, ook een relevant criterium is voor de vraag of sprake is van persoonsgegevens (voor die entiteit).59 In Nederlandse rechtspraak wordt dit criterium zo uitgelegd dat bepalend is welke middelen de ontvanger feitelijk ter beschikking heeft om gegevens te herleiden tot individuen.60

Verder noemt de voorgestelde definitie niet het criterium of de ontvanger in staat is de pseudonimisering ongedaan te maken.61 Het kabinet heeft de Commissie daarom gevraagd de door haar voorgestelde wijzigingen te verduidelijken, nader toe te lichten en de effecten te beoordelen.

De EDPB en EDPS waarschuwen in hun advies van 10 februari jl. uitdrukkelijk voor de voorgestelde wijzigingen in de definitie van persoonsgegevens, aangezien deze wijzigingen veel verder gaan dan een gerichte of technische wijziging van de AVG. Bovendien weerspiegelen de voorstellen volgens de EDPB en EDPS niet nauwkeurig de jurisprudentie en gaan zij duidelijk verder en zouden zij leiden tot een aanzienlijke beperking in de reikwijdte van het begrip persoonsgegeven, en aldus van de reikwijdte van de AVG. De door de Commissie gedane voorstel tot wijziging van het begrip persoonsgegevens, zou rechtsonzekerheid over het toepassingsbereik van de AVG bij organisaties in de hand kunnen werken. Meerdere lidstaten lijken kritisch te zijn op de door de Commissie voorgestelde wijzigingen van het begrip persoonsgegevens.

Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?

Antwoord

Als de definitie van persoonsgegevens zoals voorgesteld door de Commissie zou worden aangepast, zouden bedrijven sneller aannemelijk kunnen maken dat (vanuit hun perspectief) geen persoonsgegevens worden verwerkt. Voor betrokkenen zou het moeilijker kunnen worden om te beoordelen of die stelling juist is, wat zou kunnen leiden tot meer klachten bij toezichthouders. Ook zou de aanpassing ertoe kunnen leiden dat het voor toezichthouders lastiger wordt om te bepalen of zij bevoegd zijn. De AP heeft in haar position paper van 13 januari jl. gesignaleerd dat toezichthouders door de voorgestelde aanpassing van de definitie van persoonsgegevens minder zicht op risico’s hebben, dat de bescherming van sommige (gepseudonimiseerde) persoonsgegevens in het geding komt en dat mensen daardoor minder goed beschermd zijn.62

Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Antwoord

Zoals aangegeven in de beantwoording van vragen 57 en 58 zou de voorgestelde wijziging afbreuk doen aan het niveau van bescherming van persoonsgegevens.

Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Deze voorgestelde aanpassing is niet direct relevant voor het versterken van de digitale open strategische autonomie, maar zou wel de rechtspositie van burgers in relatie tot techbedrijven kunnen verzwakken. Als de voorgestelde wijziging van de definitie van persoonsgegevens zou worden doorgezet, zou de AVG minder vaak van toepassing zijn. Dat zou dan ook bijvoorbeeld gelden voor de mogelijkheden die de AVG aan betrokkenen biedt om hun privacyrechten uit te oefenen jegens (tech)bedrijven, of voor de bevoegdheden van toezichthouders. Zoals de EDPB en EDPS hebben opgemerkt in hun gezamenlijke opinie, maakt een beperking van de definitie van persoonsgegevens het moeilijker voor betrokkenen om hun rechten uit te oefenen.

Hoe oordeelt u over de voorgestelde waarborgen?

Antwoord

Het kabinet deelt de opvatting dat een te ruime definitie van wetenschappelijk onderzoek in de AVG – waarbij expliciet ook onderzoek voor commerciële doeleinden is inbegrepen – afbreuk kan doen aan het beschermingsniveau onder de AVG. De voorgestelde definitie is uiterst breed en wijkt af van de definities van de EDPB (richtsnoeren 05/2020) en EDPS (opinie 6 januari 2020). Het kabinet is bezorgd dat de voorgestelde definitie van wetenschappelijk onderzoek, vormen van onderzoek omvat die niet wetenschappelijk zijn. Het kabinet is dan ook bezorgd dat de voorgestelde definitie afbreuk kan doen aan de bescherming op basis van de AVG. De AVG biedt bij wetenschappelijk onderzoek immers o.a. uitzonderingen op de rechten van betrokkenen (artikel 89, tweede lid), zoals de uitzonderingen op de informatieplicht, het recht op gegevenswissing en op rectificatie. Het kabinet heeft voorgesteld om de definitie van wetenschappelijk onderzoek te schrappen, of te behandelen op een manier die recht doet aan de zorgen over en potentiële impact van deze wijziging. Verschillende lidstaten lijken het schrappen van de definitie te steunen.

Hoe oordeelt u over deze aanpassing als geheel?

Antwoord

Zoals ook in het BNC-fiche is benadrukt, heeft het kabinet bij een aantal fundamentele wijzigingen aan de AVG serieuze zorgen, omdat deze wijzigingen het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk.

Op dit moment kan het verwerken van persoonsgegevens voor AI-doeleinden toegestaan zijn, zoals ook volgt uit EDPB Advies 28/2024 over bepaalde aspecten van gegevensbescherming in verband met de verwerking van persoonsgegevens in het kader van AI-modellen. De verwerkingsverantwoordelijke moet hierbij wel aan verschillende voorwaarden voldoen. De EDPB en EDPS hebben dit in hun advies van 10 februari 2026 bevestigd, en aangegeven dat het daarom niet nodig is om hierover een specifieke bepaling op te nemen in de AVG.

In het BNC-fiche is benoemd dat het voorstel lijkt vast te leggen dat bij de training en exploitatie van een AI-model de grondslag «gerechtvaardigd belang» per definitie is gegeven zonder dat een noodzakelijkheidstoets en de bijbehorende belangenafweging moet plaatsvinden. Het voorstel voorziet ook in de verwerking van bijzondere persoonsgegevens voor dit doel (artikel 9, tweede lid, onder k, en vijfde lid, AVG). Juist vanwege de gevolgen die de verwerking van deze bijzondere categorieën van persoonsgegevens voor de betrokkenen kunnen hebben, genieten zij extra bescherming. Wanneer deze persoonsgegevens ook mogen worden verwerkt voor genoemd doel, is het extra belangrijk dat er goede randvoorwaarden zijn. Of deze mogelijkheden verder moeten worden verruimd, vergt nadere beoordeling. Verdere verruiming zou alleen aan de orde kunnen zijn als de fundamentele rechten voldoende gewaarborgd zijn. Hierop wordt nader ingegaan in het antwoord op vraag 10 van de Volt-fractie.

Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?

Antwoord

De AP heeft in haar position paper aangegeven dat het voorgestelde artikel 88c juist mínder duidelijkheid creëert. Op dit moment wordt de grondslag van een gerechtvaardigd belang in AI-context niet uitgesloten, maar de aanbieders of ontwikkelaars moeten altijd nagaan of het de meest geschikte grondslag is en een belangenafweging maken. De AP stelt: «Deze bepaling suggereert een verruiming die er niet is. In andere woorden: deze wijziging is overbodig en creëert alleen meer verwarring.» Dit zou ook kunnen doorwerken in het toezicht: situaties waarvoor de toezichthoudende autoriteiten reeds richtsnoeren hadden vastgesteld zouden opnieuw moeten worden beoordeeld op grond van artikel 88c.

Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Antwoord

Op dit moment moeten verwerkingsverantwoordelijken volgens de AVG een belangenafweging maken tussen hun eigen belangen en de rechten van de betrokkene, om te bepalen of de grondslag inzake een gerechtvaardigd belang passend is. In EDPB Advies 28/2024 is bevestigd dat er een gerechtvaardigd belang kan zijn, maar dat dit een specifieke belangenafweging vergt. Door in de AVG op te nemen dat verwerking van persoonsgegevens in het kader van de ontwikkeling en exploitatie van een AI-systeem of AI-model een gerechtvaardigd belang kan vormen, zou de Europese wetgever hieraan een zwaar gewicht geven omdat de AVG momenteel nog nergens anders een precedent kent van een bepaling waarin staat dat een specifieke gegevensverwerking of toepassing kan leiden tot een gerechtvaardigd belang.

Dit voorstel zou daarmee zo kunnen worden opgevat dat de ontwikkeling en exploitatie van AI in principe als een gerechtvaardigd belang moet worden beschouwd. Dit zou het mogelijk ook voor betrokkenen moeilijker kunnen maken om te betwisten dat er een gerechtvaardigd belang is. Zoals in het BNC-fiche is opgemerkt, zou de expliciete vermelding van de grondslag «gerechtvaardigd belang» de indruk kunnen wekken dat deze rechtsgrondslag per definitie is gegeven zonder dat een noodzakelijkheidstoets en de bijbehorende belangenafweging moet plaatsvinden. De AP geeft in haar position paper van 13 januari jl. terecht aan dat de bepaling een verruiming suggereert die er niet is.63 Dit zou ertoe kunnen leiden dat AI-bedrijven vaker stellen dat hun activiteiten onder een gerechtvaardigd belang vallen en dat zij dus geen toestemming hoeven te vragen. Concreet zou dit kunnen betekenen dat berichten, foto's of spraakopnamen van betrokkenen vaker worden gebruikt om AI-systemen te trainen zonder toestemming van betrokkenen. Weliswaar kunnen betrokkenen hiertegen bezwaar maken (opt-out), maar het risico bestaat dat betrokkenen vaak niet weten wanneer of door wie hun gegevens worden gebruikt voor AI-trainingsdoeleinden, of dat zij bij een in potentie groot aantal bedrijven bezwaar zouden moeten maken om verwerking van hun persoonsgegevens te voorkomen. Hierop wordt nader ingegaan in het antwoord op vraag 95.

Een verslechtering van de rechtspositie van betrokkenen lijkt temeer een risico omdat in artikel 88c belangrijke voorwaarden ontbreken die de EDPB wel heeft genoemd in Advies 28/2024. Zo ontbreekt de voorwaarde dat rekening moet worden gehouden met de redelijke verwachtingen van de betrokkene, waarbij onder meer rekening moet worden gehouden met de vraag of de persoonsgegevens al openbaar waren en of er een relatie bestaat tussen de betrokkene en de verwerkingsverantwoordelijke. Bovendien roept het artikel, hoewel het de bedoeling is de huidige AVG-regels te verduidelijken, nieuwe vragen op. Bijvoorbeeld met betrekking tot het «onvoorwaardelijke recht van bezwaar» en de relatie van het artikel tot het advies 28/2024 van het EDPB.

Onder andere European Digital Rights (EDRi), een koepelorganisatie van burgerrechtenorganisaties, waarschuwt dat de Omnibus Digitaal een «vrijbrief» geeft aan grote (Amerikaanse) techbedrijven om de AVG te omzeilen door middel van een vage definities over «wetenschappelijk onderzoek» en «gerechtvaardigd belang» bij het trainen van AI.64

Kunt u reflecteren op deze waarschuwing? Deze leden ontvangen graag een toelichting.

Antwoord

Hiervoor verwijs ik u naar de beantwoording van vraag 61 en vraag 64.

Deelt u de opvatting dat het legitimeren van dataverzameling voor het trainen van AI-systemen zonder toestemming uitsluitend de machtspositie van grote spelers zal versterken, die reeds over gigantisch veel data beschikken, en dat dit schadelijk is voor privacy van EU-burgers en eerlijke concurrentie met Europese bedrijven?

Antwoord

Zoals toegelicht in het antwoord op vraag 64 kan de verwerking van persoonsgegevens op dit moment onder bepaalde voorwaarden op grond van de grondslag «gerechtvaardigd belang» plaatsvinden. Dit vergt echter een belangenafweging, aldus advies 28/2024 van het EDPB. Het voorgestelde artikel 88c zou het voor betrokkenen moeilijker kunnen maken om te betwisten dat er een gerechtvaardigd belang is. In zoverre bestaat het risico dat deze aanpassing meer ten goede komt aan bestaande AI-bedrijven die al beschikken over datasets, inclusief persoonsgegevens, en daardoor voor hun werkwijze makkelijker een legitimatie kunnen vinden door een specifieke AVG-bepaling dan (beginnende) AI-bedrijven die geen datasets met persoonsgegevens hebben en die niet voornemens zijn om persoonsgegevens te gebruiken (zonder toestemming van betrokkenen).

Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Deze voorgestelde aanpassing is niet direct relevant voor het versterken van de digitale open strategie autonomie. Zoals toegelicht in antwoord 66, bestaat wel het risico dat deze aanpassing meer ten goede komt aan bestaande AI-bedrijven die al beschikken over datasets, inclusief persoonsgegevens, en daardoor voor hun werkwijze makkelijker een legitimatie kunnen vinden door een specifieke AVG-bepaling.

Hoe oordeelt u over deze aanpassing?

Antwoord

De verwerking van bijzondere categorieën van persoonsgegevens is in beginsel verboden en kan alleen onder specifieke voorwaarden worden toegestaan, omdat de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en fundamentele vrijheden (overweging 51 AVG). Het is in dat licht niet wenselijk om ambigue of ruime uitzonderingen te maken voor de verwerking van bijzondere categorieën van persoonsgegevens. Een strikte limitering tot verwerking voor bias-detectie en -correctie is wenselijk.

Dit is ook benadrukt in de Opinie van het EDPB en de EDPS. De EDPB en de EDPS vinden dat een dergelijke gegevensverwerking alleen dient te zijn toegestaan in strikt afgebakende situaties, wanneer het risico op discriminatie ernstig is en er passende waarborgen gelden. EDPB en EDPS adviseren om de eis te behouden die nu al geldt op grond van artikel 10, tweede lid, onder f, en vijfde lid, aanhef, namelijk dat de gegevensverwerking strikt noodzakelijk is voor de beoordeling en correctie met het oog op mogelijke vooringenomenheid die waarschijnlijk gevolgen heeft voor de gezondheid en de veiligheid van personen, nadelige effecten heeft op de grondrechten, of leidt tot discriminatie die op grond van het Unierecht verboden is, vooral wanneer data-outputs invloed hebben op inputs voor toekomstige operaties.

Het kabinet zet erop in het voorstel op dit punt in lijn te brengen met de opinie van de EDPB en EDPS. Wanneer het kabinet uitsluitsel kan geven of de waarborgen in het voorstel voldoende proportioneel zijn hangt af van het verloop van de onderhandelingen. Er lijkt voldoende steun in de Raad om de voorwaarden waaronder bijzondere categorieën van persoonsgegevens mogen worden verwerkt voor biasdetectie en -correctie aan te scherpen.

Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?

Antwoord

Deze aanpassing zou betekenen dat waar toezichthouders voorheen alleen toezicht moesten houden op het gebruik van deze mogelijkheid binnen de context van hoog risico AI-systemen, dit nu ook zouden moeten doen in de context van alle AI-systemen. Voor wat betreft de voorgestelde aanpassing van het artikel zijn geen (significante) gevolgen voor het toezicht voorzien.

Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Antwoord

Enerzijds leidt deze aanpassing tot een mogelijke verbetering van het recht op non-discriminatie, omdat er meer AI-systemen aan een grondigere bias-controle en -correctie onderworpen kunnen worden. Anderzijds kan verkeerd gebruik van deze mogelijkheid leiden tot inbreuken op het recht op gegevensbescherming. Daarom pleit het kabinet tijdens de onderhandelingen voor duidelijke waarborgen en een strikte noodzakelijkheid.

Wat betekent precies «onder uitsluitende controle van betrokkenen zijn» in de situatie waarbij een werkgever dit wil gebruiken voor de toegangscontrole van medewerkers?

Antwoord

Het voorgestelde artikel 9(2)(l) AVG is van toepassing wanneer de biometrische gegevens of de middelen die nodig zijn voor de verificatie onder de exclusieve controle van de betrokkene vallen. Dit betekent dat de verwerkingsverantwoordelijke geen kennis krijgt van de biometrische gegevens of slechts gedurende een zeer beperkte tijd. Indien de betrokkene niet daadwerkelijk de exclusieve controle over het verificatieproces heeft, is de bepaling niet van toepassing en kan er geen beroep worden gedaan op de uitzondering.

Hoe oordeelt u over deze specifieke aanpassing?

Antwoord

Het kabinet deelt deze kritiek. Daarom pleit het kabinet tijdens de onderhandelingen voor strikte noodzakelijkheid. Binnen de Raad lijken meerdere lidstaten dit te steunen.

Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?

Antwoord

Hiervoor verwijs ik u naar het antwoord op vraag 69.

Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Antwoord

Hiervoor verwijs ik u naar het antwoord op vraag 70.

De Europese Commissie stelt enkele waarborgen voor, namelijk:

• Strikte doelbinding: De verwerking van gegevens over gezondheid, religie of etniciteit is alleen toegestaan voor het detecteren en corrigeren van bias. Zodra de bias is verholpen, moet de data in principe worden verwijderd of geanonimiseerd.
• Beperkte toegang: Alleen geautoriseerd personeel mag met deze gevoelige datasets werken. Er moeten technische barrières zijn (zoals «clean rooms» of beveiligde omgevingen) om te voorkomen dat de data weglekt naar andere afdelingen.
• Transparantie en documentatie: Ontwikkelaars moeten in hun technische documentatie vastleggen waarom het gebruik van deze data noodzakelijk was en welke maatregelen zijn genomen om de privacy te beschermen.
• Toezicht door het AI-bureau: Dit nieuwe Europese orgaan moet toezien op de naleving van deze regels bij de machtigste AI-modellen.

Hoe oordeelt u over deze waarborgen?

Antwoord

Het kabinet is positief over deze waarborgen. Onder andere deze en andere waarborgen staan al in de AI-verordening en zijn dus ook al van toepassing op de bestaande grondslag voor hoog risico AI-systemen. Het kabinet heeft deze tijdens de onderhandelingen over de AI-verordening gesteund. Naast deze waarborgen pleit het kabinet voor het behouden van strikte noodzakelijkheid.

Wat betekent deze aanpassing voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?

Antwoord

Hiervoor verwijs ik u naar het antwoord op vraag 69.

Wat betekent deze aanpassing voor de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Antwoord

Hiervoor verwijs ik u naar het antwoord op vraag 70.

Nationale toezichthouders en de EDPB en EDPS waarschuwen voor:

• Het risico op «function creep». Dit behelst het risico dat de data die verzameld worden voor bias-correctie in de praktijk voor andere (commerciële) doeleinden gebruikt kunnen worden zodra de drempel voor verwerking is verlaagd;
• Nieuwe vormen van profilering. Hoewel het doel «eerlijkheid» is, kunnen bedrijven deze gevoelige data indirect gebruiken om gedrag te voorspellen. Zo kan een verzekeraar of bank AI-modellen bouwen die patronen herkennen die samenhangen met religie of gezondheid, wat kan leiden tot uitsluiting op basis van statistische profielen.
• Inbreuk op de private sfeer. Gegevens over religie en etniciteit behoren tot de meest persoonlijke informatie. Critici vrezen dat het «normaliseren» van het gebruik hiervan in AI-training de psychologische drempel verlaagt voor overheden en bedrijven om deze data op grote schaal te monitoren.

Hoe oordeelt u over deze voorziene risico’s?

Antwoord

Dit zijn inderdaad mogelijke risico’s bij het verruimen van de mogelijkheid om bijzondere categorieën van persoonsgegevens te verwerken voor bias-controle- en correctie. Daarom pleit het kabinet voor strikte waarborgen om deze risico’s te beperken.

Wat betekent dit voor het toezicht? Welke (mogelijke) knelpunten worden hierbij voorzien?

Antwoord

Hiervoor verwijs ik u naar het antwoord op vraag 69.

Wat betekent dit de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Antwoord

Hiervoor verwijs ik u naar het antwoord op vraag 70.

De EDPB en EDPS vinden dat gebruik van gevoelige gegevens voor bias-detectie alleen zou mogen in strikt afgebakende situaties, bijvoorbeeld wanneer de risico’s van discriminatie ernstig zijn en er passende waarborgen gelden. De EDPB en EDPS adviseren om het gebruik van gevoelige gegevens (zoals etniciteit of gezondheidsdata) voor bias-detectie expliciet te beperken tot gevallen waarin het risico op ernstige nadelige gevolgen door bias aangetoond kan worden.

Kunt u reflecteren op dit advies? Onderschrijft u deze voorwaarde?

Antwoord

Zoals aangegeven in het antwoord op vraag 68 zet het kabinet erop in het voorstel op dit punt in lijn te brengen met de opinie van de EDPB en EDPS.

Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus AI?

Antwoord

Het kabinet pleit in ieder geval nadrukkelijk voor het behouden van de strikte noodzakelijkheid. Het kabinet zal de uiteindelijke Omnibus AI in zijn geheel wegen en op basis daarvan bepalen of zij met de Omnibus AI kan instemmen.

De EDPB en EDPS benadrukken dat nationale gegevensbeschermingsautoriteiten in de eerste plaats bevoegd zouden moeten zijn om toezicht te houden op de verwerking van persoonsgegevens.

Hoe oordeelt u over dit advies? Onderschrijft u deze voorwaarde?

Antwoord

In punt 16 uit het advies van EDPB/EDPS over de Omnibus AI benadrukken de EDPB en EDPS dat de gegevensbeschermingsautoriteiten in de eerste plaats bevoegd zijn om toezicht te houden op de verwerking van persoonsgegevens op grond van artikel 4a van de AI-wetgeving, ook in overeenstemming met artikel 2, lid 7, van de AI-wetgeving. Ik beschouw dit niet zozeer als een advies, maar als een (logische) constatering.

Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus AI?

Antwoord

Het kabinet zal de uiteindelijke Omnibus AI in zijn geheel wegen en op basis daarvan bepalen of zij met de Omnibus AI kan instemmen.

Is er inmiddels meer helderheid over de geconstateerde onduidelijkheden?

Antwoord

Voor wat betreft het verzoek om een formeel impact assessment verwijs ik u naar de beantwoording van vragen 1 tot en met 3. In aanvulling hierop merk ik op dat, zoals in deze beantwoording toegelicht ten aanzien van specifieke artikelen, er voldoende steun in de Raad lijkt om een aantal bepalingen uit het voorstel te schrappen of aan te passen. De onderhandelingen zijn echter nog in volle gang. Ik zal u conform de informatie-afspraken informeren over het verdere verloop van de onderhandelingen.

Is een nader oordeel over de proportionaliteit van dit onderdeel?

Antwoord

Voor beoordelingen van de voorgestelde aanpassingen aan de AVG verwijs ik u naar de beantwoording van vragen 57, 61, 62, 68 en 85.

Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Deze voorgestelde aanpassing is niet direct relevant voor het versterken van de digitale open strategische autonomie, maar zoals aangegeven in het antwoord op vragen 60 en 67 kunnen sommige van deze voorgestelde wijzigingen wel de rechtspositie van burgers in relatie tot techbedrijven verzwakken of bedrijven die al toegang tot veel data hebben meer bevoordelen.

Geautomatiseerde besluitvorming

Hoe oordeelt u over deze aanpassing?

Antwoord

De voorgestelde wijziging van artikel 22 AVG, over verwerking van persoonsgegevens voor geautomatiseerde individuele besluitvorming, wijzigt de formulering van dit artikel zo dat het recht van de betrokkene verandert in een verplichting voor de verwerkingsverantwoordelijke. Deze gewijzigde formulering zou geen verandering van de rechten van betrokkenen mogen inhouden. Nederland heeft daarom voorgesteld om in de bijbehorende overweging 38 te expliciteren dat de voorgestelde wijzigingen de rechten van betrokkenen niet veranderen. De EDPB en EDPS hebben in hun advies van 10 februari 2026 een alternatieve formulering voorgesteld,65 die blijft uitgaan van een verbod met uitzonderingen (nee-tenzij regel), om te voorkomen dat de mogelijkheden voor geautomatiseerde individuele besluitvorming te breed worden geïnterpreteerd. Op die manier zou duidelijk zijn dat er geen sprake is van een materiële verandering, wat zou aansluiten bij het oogmerk van het Nederlandse voorstel.

De voorgestelde wijziging van artikel 22 AVG heeft daarnaast betrekking op de beoordeling of een besluit noodzakelijk is voor het sluiten of uitvoeren van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke. Het voorstel verduidelijkt dat niet mag worden vereist dat het besluit uitsluitend door middel van geautomatiseerde verwerking kan worden genomen. In overweging 38 wordt aangegeven «dat het feit dat het besluit ook door een mens kan worden genomen, de verwerkingsverantwoordelijke er niet van weerhoudt het besluit te nemen door uitsluitend geautomatiseerde verwerking». In 1.2.2.7 van het SWD geeft de Europese Commissie aan dat de huidige formulering ruimte laat voor een (ongewenst geachte) restrictieve interpretatie die het gebruik van geautomatiseerde tools belemmert, bijvoorbeeld op het gebied van cyberbeveiliging en fraudepreventie, of in de precontractuele fase.

De EDPB en EDPS hebben in hun advies van 10 februari jl. geadviseerd om het voorgestelde artikel 22, eerste lid, onder a, over te hevelen naar overweging 38, en anders te verwoorden, om te verduidelijken dat de algemene eisen van noodzakelijkheid en dataminimalisatie uit artikel 5 en 6(1)(b) AVG onverkort gelden. Ook adviseren zij om in overweging 38 te verduidelijken dat geautomatiseerde individuele besluitvorming alleen noodzakelijk is als de verwerkingsverantwoordelijke niet beschikt over andere even effectieve en minder ingrijpende middelen (al dan niet geautomatiseerd). Het kabinet bestudeert dit advies momenteel nader, maar ook het kabinet is ervan uitgegaan dat een dergelijke beoordeling ook in de toekomst vereist blijft, omdat die rechtstreeks voortvloeit uit de algemene vereisten van noodzakelijkheid, subsidiariteit en proportionaliteit die bij artikel 5, 6 en 22 AVG van toepassing zijn.

Wat betekent dit voor het toezicht? Welke mogelijke knelpunten worden hierbij voorzien?

Antwoord

Voor wat betreft de voorgestelde aanpassingen van artikel 22 zijn geen (significante) gevolgen voor het toezicht voorzien.

Wat betekent dit de (grond)rechten/positie van burgers/consumenten? Deze leden ontvangen graag een toelichting.

Antwoord

Hiervoor verwijs ik u naar het antwoord op vraag 88.

Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Deze voorgestelde aanpassing is niet direct relevant voor het versterken van de digitale open strategische autonomie.

Effecten gecentraliseerde toestemming voor het Nederlandse en Europese medialandschap

De leden van de fractie van GroenLinks-PvdA lezen in een position paper van NDP Nieuwsmedia, een branchevereniging voor nieuwsmedia, dat zij bezorgd zijn over de aangekondigde Omnibus Digitaal. De Omnibus Digitaal grijpt volgens NDP Nieuwsmedia op onwenselijke wijze in op Nederlandse nieuwsmedia en brengt daarmee het behoud van een vitaal Nederlands journalistiek landschap in gevaar, omdat steeds meer advertentie-inkomsten richting Big-Tech vloeien. Juist in een tijd waarin grote (Amerikaanse) techbedrijven steeds meer invloed krijgen op de informatievoorziening, is het behoud van een vitaal journalistiek landschap van groot maatschappelijk belang.

Herkent u, net als de Europese Commissie, het belang om de positie van nieuwsuitgevers binnen Omnibus Digitaal extra te beschermen ten opzichte van grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Het kabinet onderschrijft het belang van onafhankelijke journalistiek en is zich bewust van het belang van advertentie-inkomsten voor de financiering en onafhankelijkheid van de journalistiek. Aanbieders van mediadiensten zijn uitgezonderd van het voorgestelde artikel over gecentraliseerde consentinstellingen. Deze uitzondering is opgenomen vanwege het belang van online-inkomstenstromen voor onafhankelijke journalistiek als onmisbare pijler van een democratische samenleving en zodat mediadiensten rechtstreeks met gebruikers kunnen communiceren om hen te informeren en toestemmingskeuzes te laten maken.66 Het kabinet is deze uitzondering nader aan het bestuderen. De EDPB en EDPS hebben in hun advies van 10 februari jl. aanbevolen om deze uitzondering te heroverwegen, omdat deze uitzondering niet zou bijdragen aan het tegengaan van consent fatigue, en omdat aanbieders van mediadiensten bij de verwerking van persoonsgegevens in het kader van cookies vaak samenwerken met derde partijen.

Herkent u het risico dat de voorgestelde maatregelen binnen de Omnibus Digitaal de marktmacht van grote (Amerikaanse) techbedrijven op de online advertentiemarkt juist verder vergroot, terwijl grote (Amerikaanse) techbedrijven door steeds groter wordende marktmacht de duurzame financiering van de Nederlandse journalistiek bedreigt? Deze leden ontvangen graag een toelichting.

Antwoord

In het voorstel is een uitzondering opgenomen voor aanbieders van mediadiensten, waardoor het artikel over gecentraliseerde consentmechanismen op hen geen betrekking heeft. Het kabinet onderzoekt deze uitzondering nog. Hierbij onderzoekt het kabinet ook of er een risico is dat grote platforms in de praktijk mogelijk een bepalende rol krijgen bij de interpretatie of toepassing van de definitie van het begrip media service providers, of dat het feit dat dit risico voldoende is ingeperkt doordat het voorstel aansluit bij de bestaande definitie hiervan in Verordening (EU) 2024/1083 (Europese verordening mediavrijheid).

Erkent u dit risico? Zo nee, waarom niet? Zo ja, acht u het wenselijk om hier iets aan te doen? Deze leden ontvangen graag een toelichting.

Antwoord

Hiervoor verwijs ik u naar de beantwoording van vraag 93.

Bezwaarmogelijkheden burgers

Hoe oordeelt u over de wijzingen ten aanzien van de bezwaarmogelijkheden van burgers en maatschappelijke organisaties?

Antwoord

Zoals in antwoord 64 toegelicht, zou het voorgestelde artikel 88c het voor betrokkenen moeilijker kunnen maken om te betwisten dat er een gerechtvaardigd belang is. Zoals aldaar opgemerkt, kunnen betrokkenen weliswaar bezwaar maken tegen de verwerking van persoonsgegevens (opt-out), maar bestaat het risico dat betrokkenen vaak niet weten wanneer of door wie hun gegevens worden gebruikt voor AI-trainingsdoeleinden, of dat zij bij tal van bedrijven bezwaar zouden moeten maken om gegevensverwerking te voorkomen.

De EDPB en de EDPS vinden het voorgestelde artikel 88c onnodig en niet verhelderend. Mocht het artikel worden doorgezet, dan bevelen EDPB en EDPS onder meer aan om te verduidelijken dat het recht op bezwaar, indien mogelijk en ruim tevoren, onder de aandacht van de betrokkenen moet worden gebracht, zodat betrokkenen vanaf het begin dit recht kunnen uitoefenen. Wat betreft het kabinet is in het voorgestelde artikel 88c de balans tussen de rechten van betrokkene en de mogelijkheden om persoonsgegevens te verwerken niet goed getroffen.

De EDPB en EDPS waarschuwen dat burgers niet meer kunnen overzien waar hun gegevens terechtkomen als het trainen van AI automatisch als «gerechtvaardigd belang» wordt aangemerkt.

Hoe oordeelt u over deze zorgelijke conclusie van de EDPB en EDPS? Deze leden ontvangen graag een toelichting.

Antwoord

Zoals aangegeven in de beantwoording van vraag 64 deelt het kabinet de zorgen van de EDPB en EDPS dat dit voorstel zo zou kunnen worden opgevat dat de ontwikkeling en exploitatie van AI in principe als een gerechtvaardigd belang moet worden beschouwd.

Hoe beoordeelt u de kritiek op dit onderwerp van onafhankelijke organisaties en consumentenbonden, zoals BEUC en Corporate Europe Observatory67?

Antwoord

BEUC betreurt de plannen van de Commissie om bedrijven toe te staan persoonsgegevens te gebruiken voor de ontwikkeling en exploitatie van een AI-systeem zonder toestemming van de consument te vragen, onder meer omdat deze wijziging alleen bedrijven met toegang tot grote datasets ten goede zou komen, terwijl de concurrentie met Europese start-ups verder wordt verstoord en de consument wordt benadeeld. Voor het oordeel van het kabinet hierover verwijs ik naar antwoord 64 en 66.

Zoals aangegeven in het antwoord op vraag 18 zijn de voorgestelde wijzigingen die in het artikel van Corporate Europe Observatory68 worden benoemd zijn over het algemeen wijzigingen waar het kabinet kritisch op is of zorgen over heeft omdat ze doelen van de wetgeving afzwakken, afbreuk doen het niveau van gegevensbescherming en in veel gevallen niet lijken bij te dragen aan het verlagen van de regeldruk. Dit is in het BNC-fiche over de voorstellen toegelicht.

Kunt u aangeven wat deze aanpassing betekent voor (mede)overheden? In welke situaties van «uitzonderlijke noodzaak» kunnen (mede)overheden nu geen informatie meer opvragen? Deze leden ontvangen graag een toelichting met een aantal voorbeelden.

Antwoord

De beperking van de reikwijdte van de bevoegdheid van overheden om gegevens op te vragen bij bedrijven in situaties van «uitzonderlijke noodzaak» tot alleen «algemene noodsituaties» betekent voor (mede)overheden dat ze nu geen informatie meer mogen opvragen in situaties waarin geen sprake is van een «algemene noodsituatie», maar waar sprake is van het opvragen van gegevens waarvan het ontbreken haar ervan weerhoudt een bij wet opgelegde specifieke taak van algemeen belang te vervullen en alle andere middelen waarover zij beschikt om dergelijke gegevens te verkrijgen heeft uitgeput. Voorbeelden zijn niet beschikbaar, omdat een dergelijke situatie van «uitzonderlijke noodzaak» nog niet is voorgekomen (zie antwoord op vraag 99).

Kunt u aangeven hoe vaak dit soort situaties van «uitzonderlijke noodzaak» in de afgelopen jaren zijn voorgekomen?

Antwoord

Voor zover bekend is een dergelijke situatie tot op heden nog niet voorgekomen.

100

Kunt u een inschatting geven van de effecten van deze aanpassing?

Antwoord

Het effect van deze aanpassing is dat de beperking tot «algemene noodsituaties» het aantal gevallen waarin overheden informatie bij bedrijven kunnen opvragen zal beperken, omdat «algemene noodsituatie» duidelijk is gedefinieerd in de verordening.

101

Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Deze voorgestelde aanpassing is niet direct relevant voor het versterken van de digitale open strategische autonomie.

102

In het BNC-fiche lezen deze leden dat er ook mogelijke effecten zijn voor de rechtspraak. Welke effecten, en in welke omvang, worden door u voorzien? Wat is het oordeel van de partijen in de rechtspraak wat betreft de effecten van deze aanpassingen?

Antwoord

In het algemeen verwacht het kabinet niet dat de omnibussen grote gevolgen hebben voor de rechtspraak, omdat veel voorgestelde wijzigingen in lijn met de kabinetsinzet wetgeving versimpelen, terwijl de doelen van de wetgeving daarbij in stand blijven. Het versimpelen van de regels kan ook interpretatie, naleving en handhaving van wetgeving vergemakkelijken. Specifiek voor een aantal voorgestelde aanpassingen aan de AVG, zoals de gewijzigde definitie van persoonsgegevens, verwacht het kabinet wel dat deze tot meer belasting bij de rechtspraak kan leiden als deze ongewijzigd blijven. Het kabinet heeft niet op basis van het voorstel advies aan de rechtspraak gevraagd. Dit gebeurt bij het opstellen van uitvoeringswetgeving waarbij gevolgen voor de rechtspraak worden verwacht.

103

De leden van de fractie van GroenLinks-PvdA hebben van IPO en de VNG vernomen dat zij zich zorgen maken over risico's op surveillance bij bias-detectie, de gelijkschakeling van commerciële AI- training met wetenschappelijk onderzoek en de verschuiving van verantwoordelijkheid voor AI-geletterdheid. IPO en VNG wezen ook op mogelijke versnippering van toezicht, het schrappen van de registratieplicht voor AI-systemen, onduidelijkheid over gecentraliseerde incidentrapportage en de inperking van lokaal ethisch beleid.

Kunt u op alle genoemde punten inhoudelijk reageren? Hoe oordeelt u op deze kritiekpunten? Deze leden zien graag een reactie op de inperking van (decentraal) ethisch beleid.

Antwoord

Het kabinet deelt veel van de zorgen van de VNG en de IPO. Zie voor de positie van het kabinet ten aanzien van bias-detectie en AI-training het antwoord op vraag 12, voor gecentraliseerde incidentmeldingen het antwoord op vraag 25 en voor het schrappen van de registratieplicht het antwoord op vragen 38 tot en met 43.

Met betrekking tot AI-geletterdheid steunt het kabinet de doelstelling om AI-geletterdheid te bevorderen bij personeel dat met AI werkt. Tegelijkertijd erkent het kabinet dat de huidige verplichting in de AI-verordening onvoldoende duidelijk is en onzekerheid kan creëren bij deze organisaties. Het kabinet steunt daarom inspanningen om deze verplichting te verduidelijken of organisaties bij het voldoen aan deze verplichting te ondersteunen.

104

In het BNC-fiche lezen de leden van de fractie van GroenLinks-PvdA dat de regering kritisch is op het voorstel om de P2B-verordening gefaseerd in te trekken. Wat is de strategie om dit onderdeel van de Digitale Omnibussen aangepast te krijgen?

Antwoord

Het kabinet steunt het doel om platformwetgeving te versimpelen, maar is van mening dat het vrijwel volledig schrappen van de regels in de P2B te rigoureus is en pleit daarom in het kader van vereenvoudiging voor een meer gerichte en evenredige aanpak. Een deel van de bepalingen uit de P2B is complementair aan de Digitalemarktenverordening (DMA) en de Digitale dienstenverordening (DSA). Het schrappen van deze bepalingen leidt tot verlies aan rechtszekerheid voor ondernemers die hun goederen of diensten aanbieden via kleinere platforms. Dat terwijl de vermindering van administratieve lasten met het schrappen van de P2B-verordening marginaal is. Volgens het kabinet staat het verlies aan bescherming niet in verhouding tot de vermindering van administratieve lasten die daarmee zou worden bereikt. Door een gerichtere aanpassing kan het regelgevingskader worden gestroomlijnd met behoud van de bescherming die de P2B-verordening biedt aan zakelijke gebruikers van platforms.

De inzet van het kabinet is daarom om de bepalingen uit de P2B die complementair zijn aan de DMA en de DSA en het toezicht hierop te behouden. Het kabinet richt zich daarbij primair op de belangrijkste transparantieverplichtingen voor platforms op het gebied van bijvoorbeeld rangschikking (artikel 5) en gedifferentieerde behandeling (artikel 7). Het kabinet trekt hierbij gezamenlijk op met lidstaten die eveneens kritisch staan tegenover het volledig schrappen van de P2B-verordening. Samen met een aantal lidstaten is een non-paper verspreid waarin de hierboven genoemde zorgen zijn toegelicht.

105

Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?

Antwoord

De meeste lidstaten lijken het voorstel van de Commissie om de P2B-verordening te schrappen, te steunen. Tegelijkertijd stelt een aantal lidstaten zich kritisch op. Zoals in het antwoord op vraag 105 uiteengezet, heeft Nederland met een aantal van deze lidstaten een non-paper geschreven waarin wordt voorgesteld een aantal bepalingen (voorwaardelijk) te behouden. De inzet van deze non-paper is om de discussie op Europees niveau te voeden. Mogelijk leidt dit nog tot aanpassingen van het huidige compromisvoorstel in de Raad.

106

Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal?

Antwoord

Het kabinet beoordeelt de uitkomsten van de onderhandelingen op de digitale omnibus in verhouding tot de Nederlandse inzet in zijn geheel. Daarbij is de inzet van het kabinet op dit onderdeel om voldoende waarborgen te treffen om de gewenste vereenvoudiging op gebied van platformregelgeving door te kunnen zetten. Zolang aan die zorgen tegemoet wordt gekomen, is het in de bredere context van de omnibus geen harde randvoorwaarde om op dit onderdeel tot tekstaanpassingen te komen.

107

De ACM is sinds kort bevoegd om de P2B te handhaven en ontvangt, zo lezen deze leden in het BNC-fiche, inmiddels regelmatig meldingen over niet-naleving van de P2B door platforms: «Zonder de P2B kan de ACM geen toezicht meer houden op problemen die ondernemers ondervinden op platforms die buiten Nederland gevestigd zijn». Schrappen zal dus naar verwachting leiden tot minder rechtszekerheid en minder bescherming voor met name kleinere ondernemers die handelen op platforms.

Kunt u, in overleg met ACM, een nadere toelichting geven op welk type bedrijven zich niet aan de wetgeving houdt?

Antwoord

De P2B is van toepassing op alle onlinetussenhandelsdiensten en zoekmachines wanneer zij ondernemingen de mogelijkheid bieden om goederen of diensten aan consumenten via hen aan te bieden. Dat betekent dat de P2B voor verschillende soorten platforms in diverse sectoren en/of markten geldt, bijvoorbeeld online marktplaatsen, reserveringsplatforms, sociale media platforms of vergelijkingssites. De reikwijdte van de P2B is daarom erg groot. Mede daarom heeft de ACM in 2023 een leidraad gepubliceerd om de bekendheid van de P2B te vergroten.

Net als bij alle andere wetten waar de ACM toezicht op houdt, werkt de ACM met betrekking tot de naleving van de P2B ook meldingsgestuurd. De ACM ontvangt regelmatig meldingen en handhavingsverzoeken van ondernemingen die een beroep doen op de P2B. De ACM kan geen uitspraken doen over het type online platforms waar de ACM al dan niet overtredingen van de P2B heeft geconstateerd.

108

Kunt u, in overleg met ACM, toelichting geven op de verwachte impact van het schrappen van de P2B?

Antwoord

De P2B beschermt ondernemers wanneer zij zaken doen met platforms, ongeacht hun omvang, en draagt bij aan een eerlijke en voorspelbare bedrijfsomgeving. De P2B biedt daarvoor een reeks waarborgen, die vooral van belang zijn voor ondernemers die op online platforms goederen en diensten aanbieden. Deze waarborgen zien met name op de transparantie die online platforms moeten geven over bijvoorbeeld het opschorten, beperken van accounts en het interne klachtenafhandelingssysteem. Juist de mate van concreetheid van de P2B is voor deze ondernemers van belang.

Het schrappen van de P2B betekent dat bepaalde beschermingsmaatregelen voor zakelijke gebruikers van digitale platforms komen te vervallen. Weliswaar biedt de DSA in sommige gevallen ook bescherming tegen bepaalde gedragingen van online platforms, maar het niveau van bescherming die de P2B biedt gaat verder. Zonder de waarborgen van de P2B kunnen online platforms bijvoorbeeld hun voorwaarden zonder of met slechts een minimale waarschuwing wijzigen, wat onevenredige gevolgen kan hebben voor bedrijven (vooral het mkb) die afhankelijk zijn van de toegang tot die platforms. Als gevolg lopen ondernemers het risico minder goed beschermd te zijn in hun commerciële relatie met dergelijke online platforms.

Dankzij de P2B kan de ACM ook problemen oplossen die spelen op online platforms die buiten Nederland gevestigd zijn. Door het schrappen van de P2B kunnen ondernemers in veel gevallen niet meer terecht bij de ACM voor handhaving naar aanleiding van klachten over platforms, ongeacht waar deze gevestigd zijn. Dit doet volgens het kabinet af aan de rechtszekerheid van de gebruikers van die platforms. Het kabinet wil deze risico's mitigeren door in te zetten op behoud van de P2B-bepalingen die voor ondernemers het meest van belang zijn en de publieke handhaving daarvan door de nationale autoriteiten van lidstaten.

Het schrappen van de P2B is niet direct van invloed op de mate van digitale autonomie van Nederlandse ondernemers of de afhankelijkheid van techbedrijven. Ten aanzien van de grootste online platforms geldt namelijk dat de verplichtingen in de DMA en DSA onverkort van kracht blijven. De DMA en DSA bieden in veel gevallen verdergaande bescherming tegen oneerlijke praktijken van de grootste online platforms. Desondanks kan het schrappen van de P2B er wel toe leiden dat Nederlandse ondernemers tot op zekere hoogte handelingsperspectief verliezen in hun afhankelijkheidsrelatie tot online platforms.

109

Past deze aanpassing in de actuele strategie om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Zoals in het antwoord op de voorgaande vraag toegelicht, houdt het voorstel tot het schrappen van de P2B geen verband met de doelstellingen rond digitale autonomie en het verminderen van de afhankelijkheid van de grootste techbedrijven. Met het schrappen van de P2B verliezen zakelijke gebruikers van platforms tot op zekere hoogte handelingsperspectief in hun afhankelijkheidsrelatie met online platforms, waaronder die van de grotere techbedrijven. Tegelijkertijd bieden de regels in de DMA en DSA ondernemers onverkort bescherming in hun relatie tot de grootste online platforms.

110

Wat is de strategie om dit onderdeel van de Omnibus Digitaal aangepast te krijgen?

Antwoord

Het kabinet brengt haar standpunt op dit onderdeel in bij de onderhandelingen dit op dit moment lopen. Het kabinet zet daarbij in op het verwijderen van de geïntroduceerde uitzondering voor op gemaakte clouddiensten. Daarbij zoekt het kabinet steun bij gelijkgestemde lidstaten.

111

Hoe ligt het Europese krachtenveld ten aanzien van deze aanpassingen?

Antwoord

Op het moment dat deze vragen werden beantwoord zijn deze specifieke aanpassingen nog weinig besproken in de onderhandelingen. Het is daarom nog niet mogelijk het krachtenveld te schetsen, maar verschillende lidstaten lijken open te staan voor de Nederlandse inzet op dit punt.

112

Is aanpassing van dit onderdeel een harde randvoorwaarde om in te kunnen stemmen met de Omnibus Digitaal?

Antwoord

Het kabinet zal de uiteindelijke Omnibus Digitaal in zijn geheel wegen en op basis daarvan bepalen of zij met de Omnibus Digitaal kan instemmen.

113

Past deze aanpassing in de actuele strategie van Europa om minder afhankelijk te worden van de grote (Amerikaanse) techbedrijven? Deze leden ontvangen graag een toelichting.

Antwoord

Het kabinet ziet de voorgestelde aanpassingen in de bepalingen die overstappen tussen clouddiensten mogelijk maken als onwenselijk. Deze mening deelt zij met de ACM, in Nederland de toezichthouder op de bepalingen uit de Dataverordening die zien op cloud. Door de geïntroduceerde uitzondering voor maatwerkdiensten ontstaat het risico dat de doelstellingen van de Dataverordening op het gebied van cloud, namelijk verbeterde interoperabiliteit en portabiliteit, worden ondermijnd.

Vanwege de aard van de cloudmarkt zou een groot deel van de aangeboden diensten onder de uitzondering kunnen vallen, wat zou leiden tot hogere drempels voor overstappen in vergelijking met de oorspronkelijke tekst van de Dataverordening. Deze uitzondering brengt juridische onzekerheid voor gebruikers van clouddiensten met zich mee. Dit zou de inspanningen om de portabiliteit en interoperabiliteit van clouddiensten te bevorderen belemmeren. Daarom stellen wij voor om het voorgestelde artikel 31 (1a) te schrappen.

Door overstapbelemmeringen weg te nemen en interoperabiliteit te bevorderen verkleinen we onze afhankelijkheden van individuele cloudbedrijven. Dit biedt zowel voor de bredere Europese interne markt als voor individuele eindgebruikers mogelijkheden om afhankelijkheden af te bouwen.

114

De leden van de fractie van GroenLinks-PvdA merken op dat de verantwoordelijkheden omtrent AI-geletterdheid worden gewijzigd. De verplichtingen voor bedrijven om AI-geletterdheid te bevorderen worden verminderd. Deze verplichting geldt voortaan alleen voor organisaties die hoog risico AI-systemen inzetten. MBK-bedrijven worden grotendeels vrijgesteld van een actieve plicht om personeel te trainen. De verantwoordelijkheid om de algemene bevolking AI-geletterd te maken, wordt sterker bij de lidstaten zelf gelegd. Er wordt meer ruimte gegeven aan vrijwillige gedragscodes. In plaats van strikte wettelijke eisen voor training, mogen sectoren zelf bepalen wat een «voldoende niveau» van geletterdheid is voor hun specifieke werknemers.

Wat is volgens u het effect hiervan? Deze leden ontvangen graag een toelichting.

Antwoord

Voor de beoordeling van het kabinet van het commissievoorstel voor de aanpassing van de AI-geletterdheid verplichting, verwijs ik u naar het antwoord op vraag 103. Voor het effect van het voorstel om de registratieplicht te schrappen voor hoog-risico AI die alleen voor beperkte of procedurele taken worden gebruikt, verwijs ik u naar het antwoord op vragen 38 t/m 43.

115

Wat is het standpunt van u ten aanzien van deze wijzigingen? Deze leden ontvangen graag een toelichting.

Antwoord

Voor de beoordeling van het kabinet van het commissievoorstel voor de aanpassing van de AI-geletterdheid verplichting, verwijs ik u naar het antwoord op vraag 103. Voor de beoordeling van het voorstel om de registratieplicht te schrappen voor hoog-risico AI die alleen voor beperkte of procedurele taken worden gebruikt, verwijs ik u naar het antwoord op vragen 38 t/m 43.

116

Hoe denkt u deze verantwoordelijkheid binnen Nederland, samen met de medeoverheden, in te gaan vullen?

Antwoord

In het kader van de AI-verordening voeren de koepels van de medeoverheden, in samenwerking met BZK, een Uitvoerbaarheidstoets Decentrale Overheden (UDO) traject uit.69 Dit om de (financiële) consequenties van deze wetgeving in kaart te brengen. Hierin is ook aandacht voor AI-geletterdheid. Daarnaast worden er in het kader van AI-geletterdheid meerdere acties ondernomen, zoals de verkenning van een overheidsbreed AI-competentiecentrum als een van de versnellers van de NDS-prioriteit AI. Bij het overheidsbreed versterken van AI-geletterdheid werken overheden daarbij al samen en worden vanuit BZK ondersteunende hulpmiddelen ontwikkeld en samengebracht. Ook biedt de Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO) sinds dit jaar de basiscursus AI aan voor ambtenaren.

117

Hoe oordeelt u over het advies van de EDPB en de EDPS? Deze leden ontvangen graag een toelichting.

Antwoord

Voor de beoordeling van het kabinet van het commissievoorstel voor de aanpassing van de AI-geletterdheid verplichting, verwijs ik u naar het antwoord op vraag 103.

118

Kunt u een nadere toelichting geven over de zorgen ten aanzien van de subsidiariteit? Is er volgens u wel of niet sprake van strijdigheid met het subsidiariteitsbeginsel op dit onderdeel?

Antwoord

Het kabinet acht het van belang om te benadrukken dat de EU mag optreden voor zover het overwegen optreden niet of onvoldoende door de lidstaten zelf kan worden verwezenlijkt. Lidstaten, waaronder Nederland, hebben al goed functionerende meldpunten, waarbij bijvoorbeeld ook wordt voorzien in waarborgen voor het veilig ontvangen van incidentmeldingen. Dat betekent concreet dat de gevraagde doelstelling voldoende door afzonderlijk optreden van de lidstaten zelf geregeld kan worden en optreden op EU-niveau niet nodig én niet gerechtvaardigd is. Hierdoor is er sprake van strijdigheid met het subsidiariteitsbeginsel en dat is ook waar de zorgen van het kabinet in zitten: de Commissie heeft niet inzichtelijk gemaakt waarom de nationale meldstructuren ontoereikend zouden zijn en het op Europese schaal verzamelen van informatie noodzakelijk is. Ook zal blijken, afhankelijk van hoe het Europees meldpunt zal worden ingericht, of dit voorstel effectief zal bijdragen aan het verlagen van regeldruk en of nationale competenties rondom nationale veiligheid mogelijk worden aangetast.

120

Hoe beoordeelt u deze tegenstelling? Deze leden ontvangen graag een toelichting.

Antwoord

Het doel van de omnibussen is om bestaande wetgeving te versimpelen. Deze omnibussen richten zich daarbij specifiek op een subset van digitale wetgeving. Sommige van deze wetgeving draagt bij aan online consumentenbescherming, maar dit is niet het primaire doel van deze wetgeving. Het feit dat er bij deze bestaande digitale wetgeving wordt gekeken of de regeldruk kan worden verlaagd staat niet haaks op het feit dat er wordt gekeken of er – eventueel via nieuwe wetgeving – maatregelen kunnen worden genomen om specifieke problemen omtrent online consumentenbescherming te adresseren.

121

Wordt met de Omnibus Digitaal en de Omnibus AI de doelstelling van de Digitale Fairness Act (DFA) aangetast? Zo ja, bij welke aanpassingen is dit volgens u aan de orde?

Antwoord

Zoals in de beantwoording van vraag 120 aangegeven doen de omnibussen in het algemeen niets af aan de doelstellingen van de aangekondigde DFA. Het vorige kabinet heeft de Commissie in een non-paper opgeroepen om de DFA als gerichte maatregel in te zetten voor de aanpak van een aantal specifieke schadelijke online handelspraktijken. Een belangrijk onderdeel van de inzet is het creëren van meer samenhang tussen het consumentenrecht enerzijds en regelgeving zoals de DSA anderzijds. Hierdoor ontstaan een Europees geharmoniseerd kader en kan inconsistentie en verdere fragmentatie worden tegengegaan.

Wel bevat, zoals in het BNC-fiche70 aangegeven, het voorstel voor de Omnibus Digitaal een aantal wijzigingen aan de AVG die afbreuk doen aan het recht op privacy en gegevensbescherming. Deze voorgestelde wijzigingen kunnen daarmee wel een negatief effect hebben op de bescherming van consumenten online. Het kabinet zet erop in dat de omnibussen geen afbreuk doen aan de bescherming van grondrechten.

Vragen en opmerkingen van de leden van de fractie van de BBB

Wat is de totale geraamde besparing in administratieve lasten – uitgedrukt in euro’s en fulltime-equivalenten (fte) – als gevolg van de Omnibus Digitaal en de Omnibus AI voor Nederlandse bedrijven in de komende vijf jaar?

Antwoord

Zoals aangegeven in het SWD voor de omnibusvoorstellen verwacht de Europese Commissie dat de voorstellen zullen leiden tot een lastenreductie van € 1,3 miljard per jaar voor bedrijven en een lastenreductie van € 330 miljoen per jaar voor overheden.71

Is er of wordt er een onafhankelijke impact assessment uitgevoerd op de Nederlandse situatie? Zo ja, kunt u deze impact assessment aan de Kamer doen toekomen?

Antwoord

Een onafhankelijk impact assessment voor de Nederlandse situatie wordt niet voorzien. Dit wordt ook bemoeilijkt omdat het voorstel gezien het tempo van de onderhandelingen voortdurend aan verandering onderhevig is. Het kabinet heeft de Europese Commissie verzocht uitgebreidere analyse van de impact van de voorstellen te presenteren, hecht belang aan de adviezen van de EDPS in samenspraak met de EDPB en brengt zelf de gevolgen van de voorstellen verder in kaart.

Hoe waarborgt u dat de versoepelingen niet leiden tot een lagere bescherming van fundamentele rechten met betrekking tot privacy?

Antwoord

Voorstellen met risico's voor grondrechten dienen, op basis van grondige analyse, te worden behandeld op een wijze die recht doet aan de zorgpunten en in het bijzonder de potentiële impact op grondrechten. De impact op grondrechten weegt voor het kabinet zwaar in haar oordeel over dit voorstel. Het kabinet is daarom kritisch op voorstellen die zouden leiden tot een lager beschermingsniveau.

Op welke wijze wordt na invoering van de zevende omnibus ervoor gezorgd dat belanghebbenden op de hoogte zijn en worden getraind?

Antwoord

De verschillende wetten die de omnibussen wijzigt zijn voor verschillende groepen belanghebbenden relevant. Rondom de verschillende wetten wordt al gecommuniceerd richting belanghebbenden. Voor wetten die al zijn uitgevoerd is het de taak van de toezichthouder om belanghebbenden van voorlichting en informatie te voorzien. Communicatie over de uiteindelijke wijzigingen over de omnibussen zal daarom waarschijnlijk ook gebeuren via de communicatie over de onderliggende wetten. De toezichthouders op deze wetten hebben hier ook een belangrijke rol in. Het kabinet verwacht niet dat er als gevolg van wijzigingen in de omnibussen die wetgeving versimpelen specifieke nieuwe trainingen nodig zijn.

Is bij de berekening van besparingen rekening gehouden met deze kosten in tijd en geld?

Antwoord

Dat is niet geheel duidelijk uit het SWD. Er staat in het SWD geen expliciete indicatie van extra kosten als gevolg van de wijzigingen. Het primaire effect van de voorstellen zal een lastenreductie zijn. Zoals aangegeven in het antwoord op vraag 4 van uw fractie verwacht het kabinet niet dat er als gevolg van wijzigingen in de omnibussen die wetgeving versimpelen specifieke nieuwe trainingen nodig zijn. Het kabinet verwacht dus ook niet dat daar kosten voor hoeven te worden gemaakt.

Welke knelpunten verwacht u bij het MKB en decentrale overheden (gemeenten en provincies) door de wijzigingen van de AI-verordening?

Antwoord

Zoals ook blijkt uit de verwachte lastenverlichting die in het SWD wordt benoemd verwacht ik dat Omnibus AI vooral tot minder regeldruk voor overheden gaat leiden. De Omnibus AI beoogt de naleving van de AI-verordening te versimpelen er zorgt er bovendien voor dat er meer richtsnoeren worden ontwikkeld, die het makkelijker maken aan de regels te voldoen. Ook krijgen onder het voorstel voor de Omnibus AI organisaties meer tijd om zich voor te bereiden op de inwerkingtreding van de hoog-risico bepalingen uit de AI-verordening.

Hoe wordt ervoor gezorgd dat AI-leveranciers in Nederland de versoepelde eisen daadwerkelijk toepassen?

Antwoord

Er worden in Nederland toezichthouders aangewezen die toezicht zullen houden op de naleving van de eisen uit de AI-verordening. Indien zij niet-naleving constateren bij een AI-leverancier, kunnen zij via verschillende bevoegdheden, waaronder het opleggen van een sanctie of het van de markt halen van het AI-systeem, naleving alsnog afdwingen.

Acht u de voorgestelde inwerkingtredingstermijnen in de beide ontwerp-verordeningen – eenmaal vastgesteld en gepubliceerd – uitvoerbaar voor overheid en bedrijfsleven?

Antwoord

Ik verwacht niet dat dit problemen oplevert. Omnibussen bevatten technische wijzigingen aan bestaande regelgeving, gericht op het verlagen van regeldruk. De implementatie van omnibussen levert dus in principe weinig lasten op. Voor de onderdelen waar dit wel het geval is, zoals bij het Europees meldpunt en de wijzigingen met betrekking tot cookies, gelden ook andere termijnen voor inwerkingtreding, van 6 maanden tot 4 jaar na inwerkingtreding van de Omnibus Digitaal.

Worden er pilots voorzien om uitvoerbaarheid te testen?

Antwoord

Het kabinet ziet geen noodzaak pilots te draaien voor de uitvoerbaarheid. Omnibussen bevatten technische wijzigingen aan bestaande regelgeving gericht op het verlagen van regeldruk. Gezien de primaire verwachte impact regeldrukverlaging is, ziet het kabinet geen noodzaak voor afronding van de onderhandelingen hier pilots voor te draaien. De bepalingen van de Omnibus AI zullen tezamen met de gehele AI-verordening in augustus 2029 worden getoetst en geëvalueerd.

In welke mate wordt het maatschappelijke middenveld zoals VNG, IPO, en MKB-Nederland betrokken?

Antwoord

Zoals gebruikelijk heeft het kabinet bij en sinds de totstandkoming van het kabinetsstandpunt contact met een brede groep stakeholders, ook uit het maatschappelijk middenveld. De VNG en het IPO zijn daarnaast ook betrokken bij het opstellen van de BNC-fiches.

Hoe voorkomt u dat versoepelingen leiden tot een «race to the bottom» bij AI-veiligheid?

Antwoord

Zoals ook is aangegeven in het BNC-fiche, zet het kabinet er bij de omnibussen op in dat de wetgeving versimpeld, verduidelijkt en gestroomlijnd wordt op een manier waarbij de doelen van de wetgeving overeind blijven. Het kabinet ziet in de huidige omnibusvoorstellen geen voorstellen die AI-veiligheid verlagen, en zet zich ervoor in dat de AI-verordening hetzelfde niveau van bescherming voor de veiligheid, gezondheid en grondrechten behoudt.

Wat zijn de risico’s op juridische procedures door onduidelijke overgangsregels?

Antwoord

Het kabinet ziet geen concrete risico’s op juridische procedures door onduidelijke overgangsregels omdat de primaire verwachte impact van de omnibussen regeldrukverlaging is.

Wordt de uitvoerbaarheid getoetst aan de hand van de Nederlandse Digitaliseringsstrategie (NDS)?

Antwoord

De appreciatie van het kabinet van de Omnibussen in het betreffende BNC fiche zijn gebaseerd op het staande kabinetsbeleid, inclusief de NDS. Op beleidsinhoudelijk niveau zijn de doelstellingen en voorgestelde maatregelen van de Omnibussen getoetst aan de NDS.

Hoe voorkomt u dat versoepelingen leiden tot meer meldingen bij de AP?

Antwoord

Het kabinet betrekt bij de beoordeling van de voorgestelde wijzigingen van de AVG ook de vraag of voorzienbaar is dat deze vermoedelijk zouden leiden tot meer meldingen bij de AP. Dit is één van de redenen waarom het kabinet kritisch is op onder meer de voorgestelde beperking van de definitie van persoonsgegevens en de beperking van het inzagerecht. Er lijkt binnen de Raad steun om deze aanpassingen te schrappen.

Voorziet u dat de Europese Commissie advies zal vragen aan de diverse adviesorganen?

Antwoord

Vanwege de rechtsgrondslag voor de omnibussen – voor de Omnibus AI artikel 114 van het Verdrag voor de Werking van de Europese Unie (VWEU) en voor de Omnibus Digitaal artikel 16 en artikel 114 VWEU – zullen in principe beide adviesorganen van de Unie, namelijk het Europees Economisch en Sociaal Comité, en het Comité van de Regio’s advies geven. Daarnaast heeft de EDPS al gezamenlijk met de EDPB advies gegeven.

Hoe blijft de AVG-compliancy gewaarborgd na de voorgestelde wijzigingen?

Antwoord

Het kabinet beoordeelt of de voorgestelde wijzigingen van de AVG bijdragen aan het doel dat de Europese Commissie heeft gesteld, namelijk om de AVG te vereenvoudigen, verduidelijken en harmoniseren zonder kernprincipes of -vereisten uit de AVG aan te tasten of het hoge beschermingsniveau te ondermijnen (Staff Working Document, p. 36–37). Hiermee wordt ook beoogd om de AVG-compliance te waarborgen, want wijzigingen die geen vereenvoudiging of verduidelijking zouden bieden, dragen niet bij aan het bevorderen van de naleving van de AVG.

Is er een aparte AVG-impact assessment uitgevoerd voor de Nederlandse situatie?

Antwoord

Er is geen aparte AVG-impact assessment uitgevoerd voor de Nederlandse situatie. Zoals aangegeven in het BNC-fiche weegt de impact van de voorstellen op grondrechten zwaar voor het kabinet. Het kabinet hecht daarom zeer aan het gezamenlijk advies van de EDPB en de EDPS en analyseert zelf de impact van de voorstellen. Gezien de AVG een Europese verordening is, is er geen aanleiding te denken dat de wijzigingen in Nederland een significant andere impact zullen hebben dan in andere lidstaten.

Vragen en opmerkingen van de leden van de fractie van D66, mede namens de leden van de fractie van de PvdD

In het BNC-fiche geeft de regering met betrekking tot pijler I aan de nieuwe focus op data spaces te waarderen, maar merkt daarbij op dat belangrijke details in de uitwerking nog ontbreken. Ook geeft de regering aan in het voorstel een lange termijn visie te missen over data spaces. Wat is in uw ogen de lange termijn visie voor data spaces?

Antwoord

Het kabinet heeft de afgelopen jaren het ontwikkelen van data spaces financieel ondersteund via nationale subsidies (o.a. het Nationaal Groeifonds) en via co-funding op Europese subsidies (Digital Europe Programma). In de langetermijnvisie van het kabinet wordt ingezet op de zelfredzaamheid van dit soort initiatieven, door middel van het ontwikkelen van een verdienmodel. Data spaces hoeven niet winstgevend te zijn, maar wel kostendekkend.

Verder wijst de regering erop, met betrekking tot pijler I, dat er nog uitdagingen liggen ten aanzien van het verantwoord delen van data. Deze leden vinden het belangrijk dat data verantwoord wordt gedeeld. Daarom vragen deze leden welke uitdagingen u ziet en hoe deze zich verhouden tot het waarborgen van fundamentele rechten.

Antwoord

De uitdagingen ten aanzien van het verantwoord delen van data in relatie tot pijler I liggen voor het kabinet voornamelijk in het vergroten van het vertrouwen in datadelen tussen bedrijven, waar het niet-persoonlijke data betreft. Juist door het gebrek aan vertrouwen wordt veel data in Europa onvoldoende benut, o.a. voor het trainen van AI.

Daarnaast heeft de regering, ten aanzien van dezelfde pijler, nog vragen of er overlap bestaat tussen bestaande activiteiten en de Data Labs. Deze leden vragen of u een beeld heeft van waar die mogelijke overlap plaatsvindt.

Antwoord

De Data Labs zullen de brug vormen tussen data spaces en de AI fabriek. In Nederland lopen verschillende (regionale) initiatieven waar kennis met betrekking tot data voor AI beschikbaar is, denk aan ICAI labs, ELSA labs of AI hubs bij universiteiten. Het is belangrijk om bij het opzetten van het Data Lab in Nederland, als onderdeel van het kenniscentrum van de AI fabriek in Groningen, voort te bouwen op, en te verbinden met, de kennis die in deze hubs beschikbaar is.

Gelet op de derde pijler merkt de regering op dat het de inzet op het versterken van partnerschappen met gelijkgestemde landen steunt, onder andere op het gebied van het inzetten van data spaces in internationale datastromen. Deze leden vragen wat u verstaat onder «gelijkgestemde landen» en hoe u kijkt tegen het verder uitwerken (in EU-verband) van deze term, gelet op het belang dat onze data niet in verkeerde handen komt.

Antwoord

In relatie tot de Data Unie Strategie kan onder «gelijkgestemde landen» derde landen waarmee op Europees niveau een digitaal partnerschap is afgesloten worden verstaan. Dit zijn op dit moment Japan, Zuid-Korea, Singapore en Canada.

De leden van de fractie van D66 onderschrijven dat de regering erop toeziet dat de Europese regelgeving doelgericht en uniform wordt geïmplementeerd, toegepast en gehandhaafd. De leden lezen in het BNC-fiche dat de regering het belang van voldoende capaciteit bij toezichthouders onderstreept. Deze leden vragen of u hiermee doelt op nationale of Europese toezichthouders en of naar uw oordeel de capaciteit momenteel toereikend is. Daarnaast merken de aan het woord zijnde leden op dat de Omnibus Digitaal voorziet in oprichting van een Europees meldpunt dat de rol van nationale toezichthouders lijkt over te nemen. Is er dan nog wel capaciteit bij onze nationale toezichthouder nodig?

Antwoord

Zowel voor nationale als Europese toezichthouders is voldoende capaciteit van belang om effectief toezicht te kunnen houden. Voor de wetten die door deze omnibussen worden gewijzigd is naar mijn oordeel in het algemeen voldoende capaciteit beschikbaar. Voor de meeste van deze wetten is recent op basis van de uitvoerings- en handhavingstoetsen capaciteit toegekend aan de toezichthouders.

Het kabinet benadrukt dat de rol van de nationale toezichthouders – ongeacht of er een Europees meldpunt wordt ingericht – onverminderd belangrijk is en de capaciteit nog steeds nodig is. De NIS2-richtlijn schrijft namelijk voor dat essentiële entiteiten en belangrijke entiteiten elk significant incident moeten melden bij zowel hun CSIRT (Computer Incident Response Team) áls bij de bevoegde autoriteit. Het inrichten van een Europees meldpunt maakt deze verplichting niet anders, immers het CSIRT en de bevoegde autoriteit, met het oog op diens toezichthoudende taken, vervullen beide een andere rol in het stelsel. Hierbij benoemt het kabinet dat met het oog op beide meldingen een meldpunt wordt ingericht én dat voor het doen van de melding bij het CSIRT én bij de bevoegde autoriteit maar één handeling nodig zal zijn.

Voorts geeft de regering in het BNC-fiche aan dat het belangrijk is dat er ruimte blijft voor nationale «flexibiliteit» met betrekking tot het hergebruiken van persoonlijke data in publieke registers. Kunt u verduidelijken wat het in dit kader bedoelt met flexibiliteit?

Antwoord

Met flexibiliteit bedoel ik in dit kader dat de mogelijkheid om bij algemene maatregel van bestuur persoonsgegevens in openbare registers aan te wijzen voor hergebruik. In de Wet hergebruik van overheidsinformatie is nu het uitgangspunt dat dergelijke gegevens niet herbruikbaar zijn, tenzij bij algemene maatregel van bestuur anders is geregeld.

Verder lezen de aan het woord zijnde leden in het BNC-fiche dat de Europese Commissie inschat dat de Omnibus AI € 297 tot € 433 miljoen aan lastenverlichting voor bedrijven oplevert en de Omnibus Digitaal zowel jaarlijks, als eenmalig, € 1 miljard. Hoe beoordeelt u de verhouding tussen de mate van lastenverlichting die de Omnibussen opleveren en de beoogde doelen van vereenvoudiging en stroomlijning? Hoe beoordeelt u de omvang van de verwachte lastenverlichting? Mist u aspecten die in de Omnibussen hadden kunnen worden opgenomen die tot verdere besparingen hadden kunnen leiden en in lijn waren geweest met de gestelde doelen?

Antwoord

Ik ben positief over de beoogde lastenverlichting van de omnibussen. In deze raming zijn de effecten van sommige maatregelen niet meegenomen omdat deze moeilijker te kwantificeren zijn. Behalve technische wetswijzigingen vindt het kabinet het ook van belang dat organisaties voldoende praktische ondersteuning krijgen om aan digitale wetgeving te voldoen. Dit is van bijzonder belang omdat digitale wetgeving veelal relatief nieuw is. Hier wordt al aan gewerkt door toezichthouders en de Europese Commissie en de omnibussen geven hier ook weer een verdere impuls aan door het opstellen van bepaalde richtsnoeren en andere tools te verplichten.

De regering plaatst twee kanttekeningen bij de proportionaliteit van de Europese voorstellen. Deze leden achten deze kanttekeningen vrij aanzienlijk en vragen waarom u desondanks positief oordeelt over de proportionaliteit van de Omnibus Digitaal en de Omnibus AI. Verwacht u dat deze aandachtspunten alsnog worden betrokken bij de verdere onderhandelingen?

Antwoord

Voor het oordeel is gekozen omdat het overgrote deel van de voorgestelde wijzigingen proportioneel en positief dan wel aanvaardbaar is. Dat doet er niets aan af dat deze aandachtspunten zwaar wegen voor het kabinet en nadrukkelijk naar voren worden gebracht bij de onderhandelingen.

Onlangs heeft de Autoriteit Persoonsgegevens (AP) in een position paper ook haar zorgen geuit over een aantal voorgestelde wijzigingen van de Omnibussen. Zo gaat de drempel omhoog voor het melden van datalekken bij de toezichthouder op grond van de AVG. De Autoriteit Persoonsgegevens (AP) ziet in de praktijk dat organisaties de risico’s van een datalek vaak bewust of onbewust onderschatten en geeft hier ook een concreet voorbeeld voor. Deze leden maken zich zorgen dat de autoriteit persoonsgegevens (AP) na de voorgestelde wijziging geen zicht meer heeft op deze gevallen. Deelt u deze zorg van deze leden?

Antwoord

Het kabinet herkent de genoemde zorgen over het voorstel om de meldplicht van datalekken aan de toezichthouder te beperken tot gevallen waarin het datalek een «hoog risico» oplevert voor rechten en vrijheden van betrokkenen. De Autoriteit Persoonsgegevens (AP) heeft in haar Position paper geconstateerd dat verwerkingsverantwoordelijken de risico's van datalekken voor betrokkenen vaak onderschatten.72 De toezichthouder kan verwerkingsverantwoordelijken verplichten om een datalek ook aan betrokkenen te melden (artikel 34, vierde lid, AVG). Door de drempel voor melding aan de toezichthouder, zoals voorgesteld, gelijk te trekken met de drempel voor melding aan betrokkenen, verliezen toezichthouders deze «corrigerende» functie. Dit kan ertoe bijdragen dat personen die door een datalek worden geraakt, daarover niet worden geïnformeerd. Tegelijkertijd steunt het kabinet het doel om het onevenredig hoge aantal meldingen van datalekken aan toezichthouders te verminderen. Daarom stelt het kabinet voor om een middenweg te vinden tussen de drempel in het geldende artikel 33 AVG («een risico») en de voorgestelde drempel in het voorstel van de Commissie («hoog risico»). Te denken valt aan «impactvol risico», of eventueel «relevant risico» of «verhoogd risico».

Daarnaast geeft de Autoriteit Persoonsgegevens (AP) in het position paper aan dat de criteria voor de mogelijkheid om het recht op inzage in de AVG te beperken bij «buitensporige verzoeken» niet duidelijk zijn. Hoe ziet u dit? Hoe beoordeelt u de zorg van de Autoriteit Persoonsgegevens (AP) dat deze onduidelijkheid ertoe zal leiden dat organisaties de term «buitensporige verzoeken» verschillend zullen uitleggen?

Antwoord

Het kabinet onderschrijft deze kritiek.

Vragen en opmerkingen van de leden van de fractie van PVV

Kunt u aangeven óf en hoe op zo onafhankelijk mogelijke wijze en op gelijkwaardige basis AI-systemen beoordeeld zullen worden door het AI-bureau en op basis van welke concrete criteria?

Antwoord

Het AI-bureau heeft in de huidige AI-verordening al een rol om toezicht te houden op een deel van de AI-modellen voor algemene doeleinden en de AI-systemen die door de aanbieders van dergelijke AI-modellen worden aangeboden. Het AI-bureau zal hier als markttoezichtautoriteit onder dezelfde voorwaarden toezicht op houden als de nationale markttoezichtautoriteiten. De concrete criteria op basis waarvan het AI-bureau toezicht zal houden zijn de eisen aan AI-modellen voor algemene doeleinden en daarop gebaseerde AI-systemen die in de AI-verordening zijn vastgelegd.

Kunt u aangeven wat wordt verstaan onder «ernstige incidenten», wat daarvoor de omschrijving is, wat de criteria zijn en door wie bepaald wordt wanneer sprake is van een «ernstig incident»?

Antwoord

In de AI-verordening is een ernstig incident gedefinieerd als:

«ernstig incident»: een incident of gebrekkig functioneren van een AI-systeem dat direct of indirect leidt tot:

• het overlijden van een persoon of ernstige schade voor de gezondheid van een persoon;
• een ernstige en onomkeerbare verstoring van het beheer of de exploitatie van kritieke infrastructuur;
• een schending van de uit het recht van de Unie voortvloeiende verplichtingen ter bescherming van de grondrechten;
• ernstige schade aan eigendommen of het milieu;

Het is in eerste instantie de verantwoordelijkheid van de aanbieder of gebruiksverantwoordelijke om vast te stellen of een dergelijk incident zich heeft voorgedaan. De markttoezichtautoriteiten zullen hierop toezien.

Kunt u aangeven wat wordt verstaan onder «een hoog risico», wat daarvoor de omschrijving is, wat de criteria zijn en door wie bepaald wordt wanneer sprake is van een «hoog risico»?

Antwoord

Wat hoog risico AI-systemen zijn, is vastgelegd in artikel 6 van de AI-verordening. Hoog risico AI-systemen zijn ten eerste AI-systemen die worden gebruikt als veiligheidscomponent van een product of zelf een product zijn dat onder de harmonisatiewetgeving in bijlage I van de AI-verordening is opgenomen. Dergelijke producten zijn bijvoorbeeld liften of medische hulpmiddelen. Daarnaast worden ook AI-systemen die worden toegepast in een toepassingsgebied dat is opgenomen in bijlage III van de AI-verordening gekwalificeerd als hoog risico. Het gaat daarbij bijvoorbeeld om AI-systemen die worden gebruikt voor emotieherkenning. De aanbieder van het AI-systeem moet in eerste instantie zelf beoordelen of sprake is van een hoog risico AI-systeem. De markttoezichtautoriteiten zullen hier op toezien.

Kunt u aangeven hoe in het bijzonder de grondrechten op het gebied van vrijheid van meningsuiting gewaarborgd worden en, óf en hoe, voorkomen wordt dat door maatregelen van de Europese Commissie sprake kan zijn van vormen van censuur?

Antwoord

De (nationale) markttoezichtautoriteiten zullen toezien op het naleven van de grondrechten bij het gebruik van hoog risico AI-systemen, in samenwerking met de grondrechtenautoriteiten. Het gaat hierbij niet om een limitatieve lijst van grondrechten, dus de AI-verordening dient er ook mede toe om het grondrecht op het gebied van vrijheid van meningsuiting te beschermen. In overweging 48 bij de AI-verordening wordt juist onderstreept dat de regels voor AI-systemen met een hoog risico tot doel hebben de grondrechten, waaronder het recht op de vrijheid van meningsuiting, te beschermen.

Kunt u nader duiden wat precies wordt verstaan onder een «centraal toegangspunt» en wat in dit kader bedoeld wordt met «incidenten» en «kwetsbaarheden» en hoe en door wie deze bepaald worden?

Antwoord

Met een centraal toegangspunt wordt een Europees meldpunt (single entry point) bedoeld om meldplichten volgend uit verschillende soorten wetgeving, namelijk de Verordening cyberweerbaarheid (CRA), NIS2-richtlijn, CER, DORA, eIDAS en AVG samen te brengen. Deze meldplichten worden nationaal, onder gebruikmaking van verschillende meldpunten, ingericht.

Het kabinet merkt op dat «incidenten» en «kwetsbaarheden» in meerdere van de bovenstaande wetgevingen voorkomen. Echter, de passage waar de leden van de PVV-fractie naar verwijzen lijkt te zien op de CRA. In het licht daarvan antwoord het kabinet als volgt. De CRA richt zich op het verbeteren van digitale producten. Onder deze Verordening moeten de fabrikanten via een centraal meldingsplatform melding doen van actief uitgebuite kwetsbaarheden in producten met digitale elementen en melding doen van ernstige incidenten die gevolgen hebben voor de beveiliging van die producten. De fabrikant zelf is verplicht om te laten controleren of diens product voldoet aan de eisen van de CRA. Eén van deze eisen is dat de fabrikant beveiligingsproblemen – zoals incidenten en kwetsbaarheden – moet kunnen opsporen, melden, oplossen en hierover moet communiceren. In veel gevallen mag de fabrikant zelf een conformiteitsbeoordeling uitvoeren, in andere gevallen moet dit door een externe partij gebeuren.

Vragen en opmerkingen van de leden van de fractie van Volt

De regering geeft in de BNC-fiches aan dat impact assessments ontbreken bij de Omnibus Digitaal, de Omnibus AI en de Data Unie Strategie en dat zij hierover bij de Europese Commissie opheldering zou vragen. Heeft u deze opheldering inmiddels gevraagd en gekregen van de Europese Commissie? Als er aanvullende informatie is verstrekt over de impact, bent u dan bereid om die met onze Kamer te delen?

Antwoord

Het kabinet heeft de Europese Commissie verzocht een uitgebreidere analyse van de impact van deze voorstellen te presenteren. Ook brengt het kabinet zelf de gevolgen van de voorstellen verder in kaart. Het lijkt onwaarschijnlijk dat er alsnog een formeel impact assessment zal worden gepresenteerd. De Commissie heeft wel in de onderhandelingen via onder andere presentaties meer toelichting gegeven. Deze documenten zijn als onderdeel van de onderhandelingen vertrouwelijk en kan ik daarom niet met uw Kamer delen. Middels onder andere deze beantwoording deel ik wel zoveel mogelijk nieuwe informatie met uw Kamer, binnen de ruimte die daarvoor is gezien de informatie-afspraken binnen de Raad en de vertrouwelijkheid van onderhandelingsstukken.

De regering geeft in het BNC-fiche aan dat het ontbreken van de impact assessment het voor de regering moeilijk maakt om te beoordelen welke effecten de Omnibus Digitaal en de Omnibus AI zullen hebben op de verlaging van de regeldruk en op de fundamentele grondrechten en de nationale bevoegdheden. Bent u van mening dat de voorgestelde wijzigingen en de afwegingen die de Europese Commissie daarbij heeft gemaakt voldoende kunnen worden beoordeeld? Zo nee, van welke voorgestelde wijzigingen kunt u nu de impact op de fundamentele rechten of de doelmatigheid (nog) niet goed inschatten of afwegen?

Antwoord

Op basis van het voorstel zelf en het bijgaande SWD is het moeilijk om de effecten te beoordelen van de voorstellen die verdergaan dan het versimpelen, verduidelijken en stroomlijnen van wetgeving. Dit geldt met name voor wijzigingen aan de AVG die afbreuk doen aan de het niveau van gegevensbescherming, zoals toegelicht in het BNC-fiche. Voor de beoordeling van de impact van de voorstellen hecht het kabinet zeer aan de gezamenlijke adviezen van de EDPB en de EDPS. Deze adviezen bestudeert het kabinet momenteel. Voor een aantal voorgestelde wijzigingen aan de AVG, waaronder het wijzigen van de definitie van persoonsgegevens, lijkt er wel steun van een aantal lidstaten om deze wijzigingen terug te draaien of zo aan te passen dat de impact van de wijzigingen op grondrechten wordt geminimaliseerd. Zoals aangegeven in deze beantwoording lijkt er onder andere voldoende steun van verschillende lidstaten om het wijzigen van de definitie van persoonsgegevens terug te draaien. Als dit de Raadspositie zou worden zou dit geen impact hebben op fundamentele rechten.

Voor zover voorgestelde wijzigingen komen te vervallen, zou de noodzaak komen te ontvallen aan het verrichten van een impact assessment voor de betreffende wijzigingen.

Wanneer verwacht u de nog ontbrekende informatie over de impact van de verschillende wijzigingen bij de Europese Commissie te kunnen opvragen? Kunt u een aanvullende impactbeoordeling delen met onze Kamer?

Antwoord

Zoals aangegeven in de beantwoording van de eerste vraag van de leden van uw fractie zijn de documenten die de Europese Commissie als onderdeel van de onderhandelingen deelt vertrouwelijk en kan ik deze niet met uw Kamer delen. Middels onder andere deze beantwoording deel ik wel zoveel mogelijk nieuwe informatie met uw Kamer, binnen de ruimte die daarvoor is gezien de informatie-afspraken binnen de Raad en de vertrouwelijkheid van onderhandelingsstukken.

De leden van de Volt-fractie lezen in het BNC-fiche dat de regering een risico ziet op meer politieke besluitvorming bij de uitvoering van de AVG, omdat de Omnibus Digitaal uitvoeringsbevoegdheden verschuift van de onafhankelijke nationale en Europese toezichthouder(s) naar de Europese Commissie. Wat zal de verdere inzet van de regering zijn met betrekking tot dit risico bij de behandeling van de Omnibus Digitaal? Denkt u dit risico te kunnen mitigeren? Zo ja, op welke wijze?

Antwoord

Het kabinet brengt de zorgen over de verschuiving van bevoegdheden naar de Europese Commissie – zoals omschreven in het BNC-fiche – naar voren tijdens de onderhandelingen. Het kabinet voelt zich hierin onder meer gesterkt door het advies van de EDPB en EDPS van 10 februari jl., die hebben aanbevolen om de Commissie geen rol te geven bij de vaststelling van de lijsten over wanneer DPIA’s of meldingen van datalekken verplicht zijn, en ook niet bij criteria inzake pseudonimisering. Er lijkt voldoende steun in de Raad om deze bevoegdheden voor de EDPB te behouden.

De regering geeft in het BNC-fiche aan dat zij de adviezen van de Europees Toezichthouder voor gegevensbescherming (EDPS) en van het Europees Comité voor gegevensbescherming (EDPB) wil betrekken bij haar beoordeling en inzet op de Omnibus Digitaal en de Omnibus AI. Deze adviezen zijn inmiddels verschenen. Kunt u aangeven of u de adviezen en de daarin geuite zorgen onderschrijft? Hoe zal de regering deze adviezen bij de verdere Nederlandse inzet betrekken?

Antwoord

In de gezamenlijke EDPB/EDPS-opinie over de Omnibus Digitaal zijn de EDPB en EDPS kritisch over de impact van de voorgestelde wijzigingen op het niveau van bescherming van de grondrechten op privacy en gegevensbescherming. De opinie komt op delen overeen met het standpunt dat het kabinet ten aanzien van de Omnibus Digitaal en het kabinet ziet het dan ook als steun voor die positie. Het kabinet betrekt de adviezen bij de verdere Nederlandse inzet, onder meer doordat Nederland aan het voorzitterschap van de Raad heeft gevraagd om de voorzitters van de EDPB en EDPS uit te nodigen om een presentatie te houden in het gremium waarin de onderhandelingen worden gevoerd, de Antici Group on Simplification. Die presentatie, met vraag en antwoord sessie, is gehouden op 27 februari jl.

De regering geeft in het BNC-fiche aan grote zorgen te hebben over het instellen van een Europees meldpunt. Hoe meent u bij de behandeling van de Omnibus Digitaal te kunnen bereiken dat in plaats daarvan wordt voortgeborduurd op nationale meldpunten en oplossingen, zoals de regering in het BNC-fiche voorstaat?

Antwoord

Het kabinet benadrukt dat nationale meldstructuren, waarbij instanties van lidstaten de directe ontvanger van incidentinformatie zijn, behouden moet blijven. Het kabinet is van mening dat het verlagen van de regeldruk meer efficiënt en tijdig kan worden bereikt door voort te bouwen op juist deze nationale structuren en dat er op nationaal niveau nog veel ruimte is voor doorontwikkeling en harmonisatie, waarbij EU-breed optreden niet nodig is. Het kabinet zal tijdens de onderhandelingen de meerwaarde van de nationale meldstructuren blijven benadrukken en in overleg treden met lidstaten met vergelijkbare posities. Hoewel het kabinet zorgen heeft over de inrichting Europees meldpunt, onderschrijft het de doelstelling om de regeldruk voor bedrijven te verminderen. Het kabinet zal zich dan ook inzetten voor de harmonisatie van de cybersecuritywetgeving door concrete voorstellen te formuleren.

De Omnibus Digitaal voorziet in een wijziging van de definitie van «persoonsgegevens». Onderschrijft u dat de voorgestelde wijziging leidt tot subjectiviteit en (rechts)onzekerheid met betrekking tot wanneer sprake is van persoonsgegevens en wanneer de AVG van toepassing is?

Antwoord

Ja, zoals toegelicht in de beantwoording van vraag 57 van de leden van de fractie van GL/PvdA.

EDPB en EDPS uiten zorgen over het verruimen van het gebruik van bijzondere persoonsgegevens over bijvoorbeeld etniciteit of gezondheid voor het opsporen en corrigeren van discriminatie in AI-systemen. Deelt u de opvatting van de Europese Commissie dat de bescherming tegen het gebruik van die gegevens in het huidige AI-landschap kan worden versoepeld? Zo ja, op basis waarvan komt u tot die conclusie? Wordt het risico op herleidbaarheid niet juist groter naarmate AI zich verder ontwikkelt, en blijft de bescherming daarom niet onverminderd noodzakelijk om directe of indirecte discriminatie te voorkomen? Op welke aanvullende waarborgen zet u in bij de verdere behandeling van de Omnibus Digitaal?

Antwoord

De Omnibus AI voorziet in het schrappen van de registratieplicht voor AI-systemen die aanbieders zelf niet aanmerken als hoog risico. Bent u bekend met de bezwaren die de toezichthouders AP en de EDPB hiertegen hebben geuit?34 Deelt u de opvatting dat het schrappen van deze registratieplicht de transparantie en de uitvoerbaarheid van het toezicht vermindert? Op welke wijze betrekt u de zorgen van de toezichthoudende instanties bij de verdere Nederlandse inzet ten aanzien van de Omnibus Digitaal en de Omnibus AI?

Antwoord

Voor de kabinetspositie ten opzichte van het omnibusvoorstel om de registratieplicht voor AI-systemen die beoordeeld zijn als niet hoog risico door de aanbieder, verwijs ik u naar het antwoord op vragen 38 tot en met 43 van GroenLinks/PvdA.

In het BNC-fiche heeft de regering zorgen geuit over de grondslag die in de Omnibus Digitaal wordt geïntroduceerd voor het verwerken van (bijzondere) persoonsgegevens. De regering geeft aan dat het belangrijk is dat er goede randvoorwaarden zijn. Welke randvoorwaarden moeten volgens u aanwezig zijn? Hoe zet de regering zich bij de behandeling van de Omnibus Digitaal in voor die randvoorwaarden?

Antwoord

Wanneer bijzondere persoonsgegevens mogen worden verwerkt is het extra belangrijk dat er goede randvoorwaarden zijn gezien de gevoeligheid van bijzondere categorieën persoonsgegevens. Of er een uitzondering op het verbod om bijzondere persoonsgegevens te verwerken moet worden gemaakt in het kader van de ontwikkeling en exploitatie van een AI-systeem of AI-model, vergt nadere beoordeling. Dit zou alleen aan de orde kunnen zijn als de fundamentele rechten voldoende gewaarborgd zijn. De voorgestelde uitzondering mag de bescherming van bijzondere persoonsgegevens niet ondermijnen. Van het verbod op de verwerking van bijzondere categorieën van persoonsgegevens mag uitsluitend worden afgeweken, indien er passende waarborgen worden geboden ter bescherming van persoonsgegevens en andere grondrechten, gelet op de significante risico's die verwerking kan meebrengen voor de grondrechten en de fundamentele vrijheden (zie overweging 51 en 52 AVG). Het kabinet is daarom kritisch op het voorgestelde artikel 9, tweede lid, onder k. Hierin wordt namelijk onder meer bepaald dat bijzondere persoonsgegevens niet hoeven te worden verwijderd «indien de verwijdering van die gegevens onevenredig veel moeite vergt». Dit draait de gedachte achter het gegevensbeschermingsrecht om omdat het, naarmate er meer persoonsgegevens worden verwerkt, makkelijker zou worden om te rechtvaardigen dat bijzondere persoonsgegevens mogen worden verwerkt. Voorkomen moet worden dat verwerkingsverantwoordelijken standaard een onevenredige inspanning zouden kunnen claimen als het om grote of ongestructureerde datasets gaat. Bovendien gaat dit voorstel voorbij aan het techniekneutrale karakter van de AVG. Voorkomen moet worden dat verwerkingsverantwoordelijken onnodig AI zouden gaan gebruiken, vanwege het enkele feit dat zij dan met behulp van de voorgestelde uitzondering kunnen stellen over ruimere gegevensverwerkingsmogelijkheden te beschikken. Voorkomen moet daarom worden dat bijzondere persoonsgegevens die via een AI-systeem of -model worden verwerkt, gunstiger worden behandeld dan via een andere, gebruikelijke verwerkingsmethode.

De leden van de fractie van Volt constateren dat de regering een positieve houding inneemt ten aanzien van het voorstel van gecentraliseerde cookie-toestemming in de Omnibus Digitaal (art. 88ter). Voor digitale «gatekeepers» onder de Digitale Markets Act (DMA) is dit begrijpelijk. Tegelijkertijd kan dit voorstel negatieve gevolgen hebben voor nieuwsuitgevers op de online advertentiemarkt en ook voor media dienstaanbieders. Op welke wijze wordt dit meegenomen bij de Nederlandse inzet? Bent u bereid voor beide een uitzonderingspositie te bedingen? In hoeverre acht u het risico aanwezig dat gecentraliseerde cookie-toestemming een oneigenlijk voordeel voor bepaalde delen van de digitale markt ten opzichte van andere delen daarvan?

Antwoord

Hiervoor verwijs ik u naar de beantwoording van vragen 92 en 93 van de leden van de fractie van GL/PvdA.

Vragen en opmerkingen van het lid van fractie-Van de Sanden

Kunt u uiteenzetten hoe u voorkomt dat de Omnibus Digitaal leidt tot een verdere verschuiving van bevoegdheden van nationale naar Europese toezichthouders zonder adequate democratische controle? Welke concrete waarborgen worden ingebouwd om te verzekeren dat de rol van nationale parlementen niet wordt gemarginaliseerd?

Antwoord

De omnibus verandert in principe weinig aan de rol van nationale parlementen. Met het voorgestelde Europees meldpunt verschuift een deel van de nationale dienstverlening rondom incidentenafhandeling naar Europees niveau. Het kabinet zal tijdens de onderhandelingen de meerwaarde van de nationale meldstructuren blijven benadrukken en in overleg treden met lidstaten die vergelijkbare posities innemen. Nationale meldstructuren en meldpunten sluiten aan bij de manier van samenwerken en communiceren die entiteiten hebben met de Nederlandse overheid. Het kabinet verwacht dat het verlagen van regeldruk meer efficiënt en tijdig kan worden bereikt door voort te bouwen op bestaande nationale oplossingen in plaats van het organiseren van een Europees meldpunt.

Welke proportionaliteitstoets heeft u uitgevoerd met betrekking tot de afzonderlijke onderdelen van de Omnibus Digitaal en de Omnibus AI? Kunt u per voorgestelde maatregel aangeven waarom deze noodzakelijk is, welk probleem wordt opgelost en waarom een minder ingrijpend alternatief niet volstaat?

Antwoord

Het kabinet heeft de voorstellen zoals gebruikelijk getoetst op proportionaliteit. In het BNC-fiche is hier ook een oordeel over gegeven. Veel van de voorgestelde wetswijzigingen betreffen verduidelijkingen en versimpelingen van bestaande EU-wetgeving die weinig tot geen effect hebben behalve het verlagen van regeldruk. Deze wijzigingen zie het kabinet als proportioneel omdat deze niet verder gaan dan noodzakelijk. De aanpassingen doen geen afbreuk doen aan de beoogde doelen en werking van de wetgeving.

Zoals aangegeven in het BNC-fiche heeft het kabinet ook vragen en zorgen over de proportionaliteit van een aantal voorgestelde wijzigingen en zet het in de onderhandelingen in op minder ingrijpende alternatieven. Dit gaat over een aantal voorgestelde wijzigingen aan de AVG die verder lijken te gaan dan noodzakelijk door het niveau van gegevensbescherming verminderen. Het is bovendien onduidelijk of deze wijzigingen de regeldruk wel verlagen. Met betrekking tot het Europees meldpunt vindt het kabinet dat ook dat onvoldoende inzichtelijk is gemaakt of dit meldpunt leidt tot lastenverlichting, terwijl het meldpunt wel o.a. beveiligingsrisico’s en risico’s met betrekking tot de afhankelijkheid van een platform dat op EU niveau wordt beheerd zich mee brengt. Tot slot ziet het kabinet dat het volledig intrekken van de P2B-verordening mogelijk ingrijpender is dan nodig omdat dit afbreuk doet aan het niveau van bescherming van ondernemers op online platforms. Door bepaalde bepalingen uit de P2B-verordening in stand te houden kan de regeldruk worden verlaagd zonder de bescherming van ondernemers op online platforms te verzwakken.

Op welke wijze heeft u in kaart gebracht welke administratieve lastenreductie de Omnibus Digitaal daadwerkelijk oplevert voor Nederlandse bedrijven, in het bijzonder voor het midden- en kleinbedrijf en start-ups? Kunt u een concrete kosten-batenanalyse delen?

Antwoord

Een concrete kosten-baten analyse voor de Nederlandse situatie wordt niet voorzien. Dit wordt ook bemoeilijkt omdat het voorstel gezien het tempo van de onderhandelingen voortdurend aan verandering onderhevig is. Het kabinet heeft de Europese Commissie verzocht uitgebreidere analyse van de impact van de voorstellen te presenteren en brengt zelf de gevolgen van de voorstellen verder in kaart.

Hoe waarborgt u dat de aanpassingen in de Omnibus AI, waaronder uitstel van bepaalde verplichtingen uit de AI-verordening, niet leiden tot een verzwakking van de bescherming van fundamentele rechten zoals privacy, gelijke behandeling en het recht op effectieve rechtsbescherming?

Antwoord

Het kabinet acht het van belang dat de doelen van de AI-verordening overeind blijven, zoals ook is benadrukt in het BNC-fiche. Per voorstel uit de Omnibus AI heeft het kabinet beoordeeld in hoeverre dit het geval is.

In hoeverre beperken deze voorstellen de ruimte voor Nederland om eigen keuzes te maken op het terrein van digitalisering en AI-toepassingen? Kunt u aangeven welke onderdelen leiden tot volledige harmonisatie en waar nog nationale beleidsvrijheid resteert?

Antwoord

De voorgestelde wijzigingen aan bestaande wetgeving veranderen weinig aan de beleidsvrijheid van lidstaten en veranderen niet de mate van harmonisatie van de onderliggende wetgeving. De enige concrete zorg op dit vlak is, zoals toegelicht in het BNC-fiche, dat het voorgestelde Europees meldpunt een deel van de nationale dienstverlening rondom incidentenafhandeling verschuift naar Europees niveau. Het kabinet benadrukt op dit punt dat nationale meldstructuren, waarbij lidstaten de directe en primaire ontvanger van incidentinformatie blijven, behouden moeten blijven.

Welke mogelijkheden blijven voor burgers en bedrijven bestaan om besluiten van Europese digitale toezichthouders aan te vechten bij een onafhankelijke rechter? Acht u deze rechtsbescherming toereikend. Zo ja, op grond waarvan?

Antwoord

De voorstellen voor de omnibussen veranderen niets aan de mogelijkheden voor burgers en bedrijven om besluiten van (Europese) digitale toezichthouders aan te vechten bij een onafhankelijke rechter.

De regering plaatst in het BNC-fiche een kanttekening bij het voorgestelde Europese meldpunt voor rapportageverplichtingen. Kunt u nader toelichten waarom desondanks geen formeel subsidiariteitsbezwaar wordt overwogen? Welke meerwaarde ziet u in dit meldpunt ten opzichte van nationale voorzieningen?

Antwoord

Met betrekking tot de meerwaarde reageert het kabinet als volgt. De meerwaarde van een Europees meldpunt ten opzichte van nationale voorzieningen is volgens het kabinet (nog) niet toereikend gemotiveerd. Door de Commissie is nog onvoldoende inzichtelijk gemaakt of een dergelijk meldpunt daadwerkelijk zorgt voor lastenverlichting en simplificatie ten opzichte van de nationale meldstructuur. In het bijzonder waar het gaat om niet-grensoverschrijdende entiteiten. Het kabinet zet zich ervoor in om hierin meer inzicht te krijgen om zo te kunnen beoordelen of dit onderdeel de subsidiariteitstoets kan doorstaan.

Hoe beoordeelt u de risico’s dat de stapeling van Europese digitale regelgeving – waaronder de Omnibus Digitaal en de Omnibus AI – het Nederlandse innovatieklimaat kan verzwakken? Welke concrete maatregelen neemt u om te voorkomen dat compliance-eisen innovatie ontmoedigen?

Antwoord

De Omnibus Digitaal en de Omnibus AI beogen juist de regeldruk van digitale wetgeving te verlagen. Daarmee dragen ze positief bij aan het innovatieklimaat. Het verlagen van regeldruk is ook voor het kabinet een belangrijke prioriteit en het kabinet ziet net als de Europese Commissie dat dit kan bijdragen aan het versterken van het innovatie- en concurrentievermogen. Over de omnibussen als geheel verwacht het kabinet dat de omnibussen inderdaad de regeldruk verlagen en daarmee bijdragen aan het versterken van het concurrentievermogen.

Hoe verhouden de voorstellen zich tot het streven naar behoud van Nederlandse en Europese digitale soevereiniteit? Kunt u aangeven op welke punten strategische beslissingsmacht feitelijk uit nationale handen wordt overgedragen en hoe dit wordt gewogen?

Antwoord

Het kabinet ziet net als de Europese Commissie dat het verlagen van regeldruk kan bijdragen aan het versterken van het innovatie- en concurrentievermogen. Over de omnibussen als geheel verwacht het kabinet dat de omnibussen inderdaad de regeldruk verlagen en daarmee bijdragen aan het versterken van het concurrentievermogen.

De omnibussen dragen geen strategische beslissingsmacht van nationale overheden over naar EU-niveau. Zoals aangegeven in het antwoord op vraag 5 van uw fractie aangegeven verschuift het voorgestelde Europees meldpunt wel een deel van de nationale dienstverlening rondom incidentenafhandeling verschuift naar Europees niveau. Het kabinet benadrukt op dit punt dat nationale meldstructuren, waarbij lidstaten de directe en primaire ontvanger van incidentinformatie blijven, behouden moeten blijven.

De Staatssecretaris van Economische Zaken – Digitale Economie en Soevereiniteit, W.J.M. Aerdts

X Noot

Samenstelling:

Baumgarten (JA21), Beukering (Fractie-Beukering), Fiers (GroenLinks-PvdA), Van Gasteren (BBB) (ondervoorzitter), Goossen (BBB), Hartog (Volt), Van Hattem (PVV), Janssen (SP), Kanis (D66), Lievense (BBB), Van der Linden (VVD), Van Meenen (D66), Musa (VVD), Nicolaï (PvdD), Van den Oetelaar (FVD), Prins (CDA), Ramsodit (GroenLinks-PvdA), Recourt (GroenLinks-PvdA), Van Rooijen (50PLUS), Roovers (GroenLinks-PvdA), Van de Sanden (Fractie-Van de Sanden), Talsma (ChristenUnie), Veldhoen (GroenLinks-PvdA) (voorzitter), Visseren-Hamakers (Fractie-Visseren-Hamakers), De Vries (SGP), Walenkamp (Fractie-Walenkamp)

X Noot

Samenstelling:

Van Aelst-den Uijl (SP), Van Ballekom (VVD), Baumgarten (JA21), Beukering (Fractie-Beukering), Bovens (CDA), Crone (GroenLinks-PvdA), Dessing (FVD), Van Gasteren (BBB), Van der Goot (OPNL), Van Gurp (GroenLinks-PvdA), Holterhues (ChristenUnie), Karaaslan-Kilic (D66), Kluit (GroenLinks-PvdA) (voorzitter), Kroon (BBB), Van Langen-Visbeek (BBB) (ondervoorzitter), Van Meenen (D66), Panman (BBB), Perin-Gopie (Volt), Petersen (VVD), Prins (CDA), Van Rooijen (50PLUS), Van de Sanden (Fractie-Van de Sanden), Schalk (SGP), Straus (VVD), Van Strien (PVV), Thijsssen (GroenLinks-PvdA), Visseren-Hamakers (Fractie-Visseren-Hamakers), Walenkamp (Fractie-Walenkamp)

X Noot

College voor de Rechten van de Mens, «College wordt grondrechtentoezichthouder Artificiële Intelligentie», 20 november 2024, https://www.mensenrechten.nl/actueel/nieuws/2024/11/15/college-wordt-grondrechtentoezichthouder-artificiele-intelligentie.

X Noot

⁴

College voor de Rechten van de Mens, «EU-wetswijzingen «digitale omnibus» zorgelijk voor grondrechten», 19 november 2025, https://www.mensenrechten.nl/actueel/nieuws/2025/11/19/eu-wetswijzingen-digitale-omnibus-zorgelijk-voor-grondrechten.

X Noot

⁵

ICS, «The Digital Omnibus: Simplifying Europe’s Digital Rulebook and Its Impact on Ireland», 26 november 2025, https://ics.ie/2025/11/26/the-digital-omnibus-simplifying-europes-digital-rulebook-and-its-impact-on-ireland/.

X Noot

⁶

Digwatch, «Big Tech ramps up Brussels lobbying as EU considers easing digital rules», 30 oktober 2025, https://dig.watch/updates/big-tech-ramps-up-brussels-lobbying-as-eu-considers-easing-digital-rules#:~:text=Spending%20is%20concentrated%20among%20US,so%2C%20ask%20our%20Diplo%20chatbot

X Noot

⁷

Corporate Europe Observatory, «Article by article, how Big Tech shaped the EU’s roll-back of digital rights», 14 januari 2026, https://corporateeurope.org/en/2026/01/article-article-how-big-tech-shaped-eus-roll-back-digital-rights.

X Noot

⁸

Kamerstukken I 2025/26, 36 890, A, p. 7.

X Noot

⁹

Kamerstukken I 2025/26, 36 890, A, p. 8.

X Noot

¹⁰

Kamerstukken I 2025/26, 36 890, A, p. 8.

X Noot

¹¹

Kamerstukken I 2025/26, 36 890, A, p. 12–13.

X Noot

¹²

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 14–15.

X Noot

¹³

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 8–9.

X Noot

¹⁴

Kamerstukken I 2025/26, 36 890, A, p. 9.

X Noot

¹⁵

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 11–12.

X Noot

¹⁶

Kamerstukken I 2025/26, 36 890, A, p. 13.

X Noot

¹⁷

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI). EDPB-EDPS Joint Opinion 2/2026 On the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus).

X Noot

¹⁸

EDPB-EDPS Joint Opinion 2/2026 On the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus), p. 9–12.

X Noot

¹⁹

EDRi, «Why the Digital Omnibus puts GDPR and ePrivacy at risk», 202511-Eexplaining-GDPR_eprivacy-Digital-Omnibus.pdf.

X Noot

²⁰

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 7.

X Noot

²¹

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 6–8.

X Noot

²²

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 8.

X Noot

²³

Kamerstukken I 2025/26, 36 890, A, p. 12.

X Noot

²⁴

NDP Nieuwsmedia, «Digital Omnibus moet journalistiek beter beschermen, 4 februari 2026, https://www.ndpnieuwsmedia.nl/2026/02/04/ndp-nieuwsmedia-digital-omnibus-moet-journalistiek-beter-beschermen/.

X Noot

²⁵

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 16–17.

X Noot

²⁶

The European Consumer Organisation (BEUC), «EU’s plan to simplify digital laws to benefit mainly large companies at the expense of consumers», 19 november 2025, https://www.beuc.eu/press-release/eus-plan-simplify-digital-laws-benefit-mainly-large-companies-expense-consumers; en Corporate Europe Observatory, «Article by article, how Big Tech shaped the EU’s roll-back of digital rights», 14 januari 2026, https://corporateeurope.org/en/2026/01/article-article-how-big-tech-shaped-eus-roll-back-digital-rights.

X Noot

²⁷

Kamerstukken I 2025/26, 36 890, A, p. 10.

X Noot

²⁸

Kamerstukken I 2025/26, 36 890, A, p. 10.

X Noot

²⁹

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 13–14.

X Noot

³⁰

Kamerstukken I 2025/26, 36 890, A, p. 12.

X Noot

³¹

X Noot

³²

COM(2025) 836, p. 2.

X Noot

³³

COM(2025) 836, p. 3.

X Noot

³⁴

COM(2025) 837, p. 9.

X Noot

³⁵

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI).

X Noot

³⁶

Autoriteit Persoonsgegevens, «Position paper AP: Omnibus Digitaal en Omnibus AI», 13 januari 2026, https://www.autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-omnibus-digitaal-en-omnibus-ai; EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI).

X Noot

³⁷

Digital Omnibus Regulation Proposal | Shaping Europe’s digital future

X Noot

³⁸

Digitale omnibus: EDPB en EDPS ondersteunen vereenvoudiging en concurrentievermogen en maken zich grote zorgen | European Data Protection Board

X Noot

³⁹

Kamerstukken II 2022/2023, 26 643, nr. 941

X Noot

⁴⁰

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad.

X Noot

⁴¹

Zie overwegingen 41 en 43 van het voorstel voor de Digitale omnibus.

X Noot

⁴²

Kamerstukken II 2025/2026, 22 112, nr. 4223

X Noot

⁴³

Position paper AP: Omnibus Digitaal en Omnibus AI | Autoriteit Persoonsgegevens

X Noot

⁴⁴

Betere regelgeving - Europese Commissie

X Noot

⁴⁵

X Noot

⁴⁶

EU-wetswijzingen «digitale omnibus» zorgelijk voor grondrechten | College voor de Rechten van de Mens

X Noot

⁴⁷

Kamerstukken II 2025/2026, 22 112, nr. 4223

X Noot

⁴⁸

Digitale omnibus: EDPB en EDPS ondersteunen vereenvoudiging en concurrentievermogen en maken zich grote zorgen | European Data Protection Board

X Noot

⁴⁹

Betere regelgeving - Europese Commissie

X Noot

⁵⁰

X Noot

⁵¹

X Noot

⁵²

SWD(2025) 836 final

X Noot

⁵³

Digital omnibus: a first step and what must come next, now - DIGITALEUROPE

X Noot

⁵⁴

X Noot

⁵⁵

Article by article, how Big Tech shaped the EU’s roll-back of digital rights | Corporate Europe Observatory

X Noot

⁵⁶

Hof van Justitie van de EU 5 september 2012 (Europees Parlement / Raad), C-355/10, rechtsoverweging 77.

X Noot

⁵⁷

Zie onder meer J. Mannekens, annotatie bij HvJ EU 4 september 2025 (SRB-arrest), nr. C-413/23 P, Computerrecht 2025/195 en I. Ezzamouri en R.P. Santifort, annotatie bij diezelfde uitspraak, Jurisprudentie Bescherming Persoonsgegevens 2025, blz. 1135–1138,

X Noot

⁵⁸

HvJ EU 04-09-2025, C-413/23 P, ECLI:EU:C:2025:645, paragraaf 85: «Voor zover niet is uitgesloten dat deze derden redelijkerwijs in staat zullen zijn om met middelen, zoals een vergelijking met andere gegevens waarover zij beschikken, de gepseudonimiseerde gegevens te koppelen aan de betrokkene, moet deze persoon dus worden geacht identificeerbaar te zijn, zowel wat de doorgifte als wat de verdere verwerking van die gegevens door die derden betreft.

X Noot

⁵⁹

Hof van Justitie EU 7 maart 2024, C-604/22, ECLI:EU:C:2024:214 (IAB Europe/Gegevensbeschermingsautoriteit), paragraaf 46, en HvJEU 7 maart 2024, C-479/22, ECLI:EU:C:2024:215 (OC/Europese Commissie), paragraaf 55.

X Noot

⁶⁰

Rb. Midden-Nederland 23 april 2025, ECLI:NL:RBMNE:2025:1760, rechtsoverweging 3.10 – 3.13.

X Noot

⁶¹

HvJ EU 04-09-2025, C-413/23 P, ECLI:EU:C:2025:645, paragraaf 77.

X Noot

⁶²

https://www.autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-omnibus-digitaal-en-omnibus-ai

X Noot

⁶³

https://www.autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-omnibus-digitaal-en-omnibus-ai

X Noot

⁶⁴

EDRi, «Why the Digital Omnibus puts GDPR and ePrivacy at risk», 202511-Eexplaining-GDPR_eprivacy-Digital-Omnibus.pdf.

X Noot

⁶⁵

Zie §66 van het advies: «a decision which produces legal effects for a data subject or similarly significantly affects them shall not be based solely on automated processing, including profiling, unless that decision: (...).»

X Noot

⁶⁶

Paragraaf 1, COM 2025(837) final.

X Noot

⁶⁷

X Noot

⁶⁸

Article by article, how Big Tech shaped the EU’s roll-back of digital rights | Corporate Europe Observatory

X Noot

⁶⁹

Zie bijvoorbeeld de impactanalyse die de VNG uitvoerde in opdracht van BZK: 250116_VNG-Uitvoeringsanalyse-Digital-Decade-AI-verordening vdef.

X Noot

⁷⁰

Kamerstukken 2025/2026 II, 22 112, nr. 4223

X Noot

⁷¹

SWD(2025) 836 final, Annex II

X Noot

⁷²

https://www.autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-omnibus-digitaal-en-omnibus-ai

X Noot

Samenstelling:

X Noot

Samenstelling:

X Noot

⁴

X Noot

⁵

X Noot

⁶

X Noot

⁷

X Noot

⁸

Kamerstukken I 2025/26, 36 890, A, p. 7.

X Noot

⁹

Kamerstukken I 2025/26, 36 890, A, p. 8.

X Noot

¹⁰

Kamerstukken I 2025/26, 36 890, A, p. 8.

X Noot

¹¹

Kamerstukken I 2025/26, 36 890, A, p. 12–13.

X Noot

¹²

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 14–15.

X Noot

¹³

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 8–9.

X Noot

¹⁴

Kamerstukken I 2025/26, 36 890, A, p. 9.

X Noot

¹⁵

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 11–12.

X Noot

¹⁶

Kamerstukken I 2025/26, 36 890, A, p. 13.

X Noot

¹⁷

X Noot

¹⁸

EDPB-EDPS Joint Opinion 2/2026 On the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus), p. 9–12.

X Noot

¹⁹

EDRi, «Why the Digital Omnibus puts GDPR and ePrivacy at risk», 202511-Eexplaining-GDPR_eprivacy-Digital-Omnibus.pdf.

X Noot

²⁰

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 7.

X Noot

²¹

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 6–8.

X Noot

²²

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 8.

X Noot

²³

Kamerstukken I 2025/26, 36 890, A, p. 12.

X Noot

²⁴

NDP Nieuwsmedia, «Digital Omnibus moet journalistiek beter beschermen, 4 februari 2026, https://www.ndpnieuwsmedia.nl/2026/02/04/ndp-nieuwsmedia-digital-omnibus-moet-journalistiek-beter-beschermen/.

X Noot

²⁵

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 16–17.

X Noot

²⁶

X Noot

²⁷

Kamerstukken I 2025/26, 36 890, A, p. 10.

X Noot

²⁸

Kamerstukken I 2025/26, 36 890, A, p. 10.

X Noot

²⁹

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), p. 13–14.

X Noot

³⁰

Kamerstukken I 2025/26, 36 890, A, p. 12.

X Noot

³¹

X Noot

³²

COM(2025) 836, p. 2.

X Noot

³³

COM(2025) 836, p. 3.

X Noot

³⁴

COM(2025) 837, p. 9.

X Noot

³⁵

EDPB-EDPS Joint Opinion 1/2026 On the Proposal for a regulation as regards the simplification on the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI).

X Noot

³⁶

X Noot

³⁷

Digital Omnibus Regulation Proposal | Shaping Europe’s digital future

X Noot

³⁸

Digitale omnibus: EDPB en EDPS ondersteunen vereenvoudiging en concurrentievermogen en maken zich grote zorgen | European Data Protection Board

X Noot

³⁹

Kamerstukken II 2022/2023, 26 643, nr. 941

X Noot

⁴⁰

X Noot

⁴¹

Zie overwegingen 41 en 43 van het voorstel voor de Digitale omnibus.

X Noot

⁴²

Kamerstukken II 2025/2026, 22 112, nr. 4223

X Noot

⁴³

Position paper AP: Omnibus Digitaal en Omnibus AI | Autoriteit Persoonsgegevens

X Noot

⁴⁴

Betere regelgeving - Europese Commissie

X Noot

⁴⁵

X Noot

⁴⁶

EU-wetswijzingen «digitale omnibus» zorgelijk voor grondrechten | College voor de Rechten van de Mens

X Noot

⁴⁷

Kamerstukken II 2025/2026, 22 112, nr. 4223

X Noot

⁴⁸

Digitale omnibus: EDPB en EDPS ondersteunen vereenvoudiging en concurrentievermogen en maken zich grote zorgen | European Data Protection Board

X Noot

⁴⁹

Betere regelgeving - Europese Commissie

X Noot

⁵⁰

X Noot

⁵¹

X Noot

⁵²

SWD(2025) 836 final

X Noot

⁵³

Digital omnibus: a first step and what must come next, now - DIGITALEUROPE

X Noot

⁵⁴

X Noot

⁵⁵

Article by article, how Big Tech shaped the EU’s roll-back of digital rights | Corporate Europe Observatory

X Noot

⁵⁶

Hof van Justitie van de EU 5 september 2012 (Europees Parlement / Raad), C-355/10, rechtsoverweging 77.

X Noot

⁵⁷

X Noot

⁵⁸

X Noot

⁵⁹

X Noot

⁶⁰

Rb. Midden-Nederland 23 april 2025, ECLI:NL:RBMNE:2025:1760, rechtsoverweging 3.10 – 3.13.

X Noot

⁶¹

HvJ EU 04-09-2025, C-413/23 P, ECLI:EU:C:2025:645, paragraaf 77.

X Noot

⁶²

https://www.autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-omnibus-digitaal-en-omnibus-ai

X Noot

⁶³

https://www.autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-omnibus-digitaal-en-omnibus-ai

X Noot

⁶⁴

EDRi, «Why the Digital Omnibus puts GDPR and ePrivacy at risk», 202511-Eexplaining-GDPR_eprivacy-Digital-Omnibus.pdf.

X Noot

⁶⁵

X Noot

⁶⁶

Paragraaf 1, COM 2025(837) final.

X Noot

⁶⁷

X Noot

⁶⁸

Article by article, how Big Tech shaped the EU’s roll-back of digital rights | Corporate Europe Observatory

X Noot

⁶⁹

Zie bijvoorbeeld de impactanalyse die de VNG uitvoerde in opdracht van BZK: 250116_VNG-Uitvoeringsanalyse-Digital-Decade-AI-verordening vdef.

X Noot

⁷⁰

Kamerstukken 2025/2026 II, 22 112, nr. 4223

X Noot

⁷¹

SWD(2025) 836 final, Annex II

X Noot

⁷²

https://www.autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-omnibus-digitaal-en-omnibus-ai

Berichten over uw Buurt

Dienstverlening

Beleid & regelgeving

Contactgegevens overheden

Toon meer van: Extra informatie

Toon meer van: Gerelateerd

Publicaties in kamerdossier

Hoofddocument en bijlagen

Geconsolideerde regelgeving

Geconsolideerde regelgeving

Publicaties referendum

36 890 Digitaal pakket van de Europese Commissie COM(2025)835, COM(2025)836, COM(2025)837, COM(2025)838

J VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

BRIEF VAN DE VOORZITTERS VAN DE VASTE COMMISSIES VOOR DIGITALISERING EN VOOR ECONOMISCHE ZAKEN & KLIMAAT EN GROENE GROEI

1. Vragen van de leden van de fractie van GroenLinks-PvdA

a. Algemene vragen

b. Grondrechten in het geding

c. Ondernemingsklimaat

d. Wijzigingen bevoegdheden

e. Nationale veiligheid

f. Uitstellen verplichtingen met betrekking tot hoog risico AI-systemen

g. Schrappen registratieplicht hoog risico AI-systemen

h. Rol van Europese en nationale toezichthouders

i. Definitie persoonsgegevens en trainen AI-modellen

j. Geautomatiseerde besluitvorming

k. Effecten gecentraliseerde toestemming voor het Nederlandse en Europese medialandschap

l. Bezwaarmogelijkheden burgers

m. Gevolgen voor (mede)overheden en de rechtspraak

n. Schrappen Platform-to-Business-verordening (P2B)

o. Uitzonderingsbepalingen overstappen clouddiensten

p. AI-geletterdheid en registratieplicht hoog risico AI-systemen

q. Subsidiariteit

r. Digital Fairness Act (DFA)

2. Vragen en opmerkingen van de leden van de fractie van de BBB

3. Vragen en opmerkingen van de leden van de fractie van D66, mede namens de leden van de fractie van de PvdD

a. Vragen met betrekking tot COM(2025) 835 – Mededeling Data Unie Strategie

b. Vragen met betrekking tot COM(2025) 836 en 837 – Omnibus AI en Omnibus Digitaal

4. Vragen en opmerkingen van de leden van de fractie van PVV

a. Vragen met betrekking tot COM(2025)836 – Omnibus AI

b. Vragen met betrekking tot COM(2025)837 – Omnibus Digitaal

5. Vragen en opmerkingen van de leden van de fractie van Volt

6. Vragen en opmerkingen van het lid van fractie-Van de Sanden

a. Rechtsstaat en democratische controle

b. Proportionaliteitstoets

c. Effect op administratieve lasten

d. Grondrechten en AI-regulering

e. Nationale beleidsruimte

f. Toezicht en rechtsbescherming van burgers en bedrijven

g. Subsidiariteit en Europees meldpunt

h. Gevolgen voor innovatie en concurrentievermogen

i. Digitale soevereiniteit en strategische autonomie

BRIEF VAN DE STAATSSECRETARIS VAN ECONOMISCHE ZAKEN – DIGITALE ECONOMIE EN SOEVEREINITEIT

179856

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot