Gisteren was het dan eindelijk zover, de Europese Commissie (EC) bracht haar Digital Omnibus (DO) naar buiten. Voor visueel ingestelde lezertjes is hier ook een YouTube video van de persconferentie. De EC heeft met deze omnibus de ambitie om het Europese digitale regelgevingslandschap te stroomlijnen en te moderniseren: het verminderen van de administratieve last voor bedrijven, met een geschatte besparing tot €5 miljard tegen 2029, en het faciliteren van innovatie, met name rond de uitrol van de AI Act. De omnibus treedt in werking indien het een meerderheid in het Europees Parlement krijgt en een gekwalificeerde meerderheid in de Raad van de Europese Unie (die de regeringen van de lidstaten vertegenwoordigt). Ik schat in dat hier geen onoverkomelijke obstakels liggen. En dat betekent eigenlijk dat we de DO nu al als wet kunnen verwelkomen.

Ik wil me in deze blog posting beperken tot de mogelijke/waarschijnlijke gevolgen voor de Europese privacy-wetgeving (AVG) die ook onderdeel is van deze omnibus. De AVG is gebaseerd op cruciale beginselen, zoals dataminimalisatie, doelbinding en de verplichting van strikte rechtsgrondslagen (Art. 6 en Art. 9) voor elke verwerking. De oorspronkelijke intentie van de AVG was het verschuiven van de machtsbalans naar de consument in de digitale markten. En die verschuiving wordt nu (deels) ongedaan gemaakt doordat de fundamentele, structurele bescherming van de persoonlijke levenssfeer wordt verzwakt ten gunste van de industriële behoefte aan onbeperkte data-acquisitie voor AI-ontwikkeling.

De DO stelt voor dat techgiganten persoonsgegevens van Europeanen mogen gebruiken voor het trainen van AI-modellen op basis van het ruimere en minder stringente ‘gerechtvaardigd belang’. Dit zou gelden voor grootschalige dataverwerking die essentieel is voor de ontwikkeling van grote AI-modellen.

Traditioneel vereist grootschalige, hoog-risico verwerking vaak expliciete toestemming, aangezien de doelen van ‘modeltraining’ vaak te breed zijn voor het beginsel van doelbinding. Door ‘gerechtvaardigd belang’ echter als dominante rechtsgrondslag toe te staan, wordt de drempel voor data-acquisitie door AI-ontwikkelaars aanzienlijk verlaagd. De Commissie stelt dat de verwerking is toegestaan zolang deze aan alle AVG-vereisten voldoet en de betrokkene het onvoorwaardelijke recht op bezwaar heeft. De Commissie heeft het onvoorwaardelijke recht van de betrokkene om bezwaar te maken tegen de verwerking van hun persoonsgegevens benadrukt.³ Echter, vanuit een juridisch perspectief is dit een ex post (achteraf) verdedigingsmechanisme dat weinig praktisch nut biedt in de context van AI-training. De effectiviteit van een recht op bezwaar is beperkt wanneer data al is gebruikt om een complex AI-model te trainen. Het is technisch en operationeel vrijwel onmogelijk om eenmaal geïncorporeerde gegevens effectief te verwijderen (‘ont-trainen’, zie ook deze blog posting) uit een reeds ontwikkeld model. Het beroep op het recht op bezwaar is in dit scenario een inadequate bescherming, aangezien de schade door de grootschalige data-extractie dan al onomkeerbaar is aangericht.

De meest verontrustende suggestie is dat deze versoepeling potentieel zou gelden voor data van bijzondere categorieën. Dit omvat de meest gevoelige gegevens, zoals die over politieke overtuigingen, religie, gezondheid of seksuele oriëntatie. Artikel 9 van de AVG verbiedt de verwerking van deze gevoelige data, tenzij er aan zeer strikte, beperkte uitzonderingen wordt voldaan (zoals expliciete toestemming). Het juridische gevolg van het toestaan van de verwerking van dergelijke data voor AI-training op basis van ‘gerechtvaardigd belang’ zou zijn dat een fundamentele, beschermende barrière tegen discriminatie en profiling op basis van gevoelige kenmerken wordt weggenomen. Dit vormt een systemische ondermijning van de grondrechtenbescherming die de AVG oorspronkelijk beoogde te bieden.

Een laatste juridisch risico is de overweging om pseudonieme data niet langer altijd als persoonsgegevens te beschouwen onder de AVG. Hoewel dit bedoeld is om juridische duidelijkheid te scheppen, kan het de reikwijdte van de AVG verkleinen. De AVG bepaalt dat gepseudonimiseerde data persoonsgegevens blijven zolang re-identificatie met redelijke middelen mogelijk is. Door de definitie te versoepelen, ontstaat het risico dat grote, gepseudonimiseerde datasets – die cruciaal kunnen zijn voor AI-training – buiten het toepassingsgebied van de AVG vallen. Dit zou een groter ‘vrijhavengebied’ creëren voor dataverwerking in de pre-identificatiefase, met minder toezicht en minder bescherming voor de burger.

De DO introduceert structurele zwaktes in de AVG door de focus te verschuiven van preventieve toestemming naar een reactief bezwaar in de context van AI-dataverwerking. Dit opent de deur naar massale, legale data-extractie door AI-bedrijven, of alle bedrijven die claimen iets met AI te doen. Meer gebruik van persoonlijke data voor AI-training (incl. gevoelige data) zonder toestemming levert een verhoogd risico op data-uitbuiting.

Welkom in het dystopische tijdperk waar boeken als Empire of AI, Data Grab, The Algorithm, The Costs of Connection, Your Face Belongs To Us, Enshittification, Why Privacy Matters voor waarschuwen. 1984 is definitief gearriveerd ‘dankzij’ intens lobbywerk van de grote Tech bedrijven en het gebrek aan zelfs maar het een vermoeden van een ruggenraat bij onze niet-gekozen Europese leiders.

In komende artikelen ga ik verder in op de consequenties van deze wetswijzigingen, maar ik denk dat op de kantoren van LLM-bouwers, people aggregators en vele, vele andere bedrijven de champagnekurken knallen. Bij de Autoriteit Persoonsgegevens is de winterslaap nog dieper geworden terwijl iedereen die privacy een warm hart toedraagt zich klaar moeten maken voor een jarenlange strijd om het verloren terrein weer terug te gaan winnen. Maar eerst even goed uithuilen…