De Europese privacytoezichthouders EDPB en EDPS uiten in een gezamenlijk advies ernstige bezwaren tegen belangrijke onderdelen van het Digital Omnibus-voorstel van de Europese Commissie. De autoriteiten verzetten zich met name tegen het versmallen van de definitie van persoonsgegevens en zetten vraagtekens bij voorgestelde wijzigingen rond AI-training en het recht op inzage.
De Europese Commissie presenteerde op 19 november 2025 het Digital Omnibus-pakket, een ingrijpend voorstel dat onder meer de GDPR en de ePrivacy-richtlijn wil aanpassen. Het voorstel wordt omschreven als een ‘vereenvoudigingsmaatregel’, maar zou volgens critici vooral voordelig zijn voor grote Amerikaanse techbedrijven. De Commissie stelt dat de aanpassingen nodig zijn om de administratieve lasten voor EU-bedrijven te verlagen en Europa’s concurrentiepositie in AI te versterken.
Maar burgerrechtenorganisaties waarschuwden al eerder, en nu voegen de onafhankelijke privacywaakhonden EDPB (European Data Protection Board) en EDPS (European Data Protection Supervisor) daar hun stem aan toe. In hun gezamenlijke advies maken ze duidelijk dat verschillende voorstellen verder gaan dan technische aanpassingen of vereenvoudiging.
Versmalling definitie persoonsgegevens afgewezen
Het meest opvallende punt van kritiek betreft het voorstel om de definitie van persoonsgegevens in Artikel 4(1) van de GDPR te vernauwen. Volgens EDPB en EDPS zou deze wijziging “veel verder gaan dan een gerichte aanpassing van de GDPR, een ’technische wijziging’ of een codificering van jurisprudentie van het EU-Hof van Justitie”. De autoriteiten bevestigen daarmee de zorgen die belanghebbenden al eerder uitten.
Daarnaast wijzen de toezichthouders het voorstel af waarbij de Commissie zichzelf meer bevoegdheden zou geven om te bepalen wat als gepseudonimiseerde persoonsgegevens geldt. In combinatie met de nieuwe definitie van persoonsgegevens zou dit bedrijven gemakkelijke wegen bieden om onder de werking van de GDPR uit te komen.
AI-training op basis van gerechtvaardigd belang
Over het voorstel om AI-training mogelijk te maken op basis van gerechtvaardigd belang (legitimate interest) zijn EDPB en EDPS genuanceerder. Hoewel ze niet principieel tegen zijn, benadrukken ze dat het nieuw voorgestelde Artikel 88c in werkelijkheid weinig duidelijkheid schept. Bedrijven zouden nog steeds een drietrapstest moeten uitvoeren om te beoordelen of het gebruik van gerechtvaardigd belang als rechtsgrondslag rechtmatig is.
Bovendien zouden veel andere kernvraagstukken rond het gebruik van persoonsgegevens voor AI-training niet worden opgelost door het voorstel. De voorgestelde wijzigingen betreffen een breed scala aan EU-digitale wetgeving, maar de praktische uitwerking blijft onduidelijk.
Beperking recht op inzage botst met jurisprudentie
In zijn huidige vorm zou het voorstel voor Artikel 12(5) van de GDPR betrokkenen beperken in het gebruik van hun recht op inzage. De wijziging zou eisen dat dit recht alleen wordt gebruikt voor “gegevensbeschermingsdoeleinden”. Dat zou waarschijnlijk journalistieke, onderzoeks-, politieke, economische of juridische doeleinden uitsluiten voor toegang tot iemands eigen persoonsgegevens.
De autoriteiten maken duidelijk dat zo’n beperking in strijd zou zijn met bestaande jurisprudentie van het Europese Hof van Justitie. Wel erkennen ze dat verduidelijking mogelijk is over de bestaande beperkingen tegen “misbruik” van inzagerechten.