Ik weet niet of er iemand binnen de EU onder de indruk is van de daadkracht en standvastigheid van onze niet-gekozen Europese vertegenwoordigers (Von der Leyen c.s.) maar ik heb een donkerbruin vermoeden. De rol van de EU bij de groter wordende geopolitieke spanningen is die van een figurant met afasie, en zelfs dat is nog een belediging voor figuranten met afasie, waarvoor mijn oprechte verontschuldingen.

Wanneer het gaat om het reguleren van technologie en het vaststellen van normen voor gegevensbescherming en AI lijkt Europa ondertussen ook het laffe hoofd in de schoot te hebben geworpen. Waar het eens de ambitie leek om een leidende rol te spelen bij de regulering van technologie en wereldwijde normen zou vaststellen voor gegevensbescherming en AI “dicteert Washington nu het tempo van de deregulering in Europa.”

Enter: de Digital Omnibus, een pakket aan maatregelen die regels rond kunstmatige intelligentie, cyberbeveiliging, data en privacy “vereenvoudigt”. Waarmee de Europese Commissie claimt de EU ‘concurrerend’ te maken – terwijl ze in werkelijkheid juist de Amerikaanse Big Tech-bedrijven, die de sector domineren, actief in staat lijken te stellen hun positie te versterken. De kwade genius achter de Digital Omnibus is overigens Mario Draghi, die het volgende rampscenario schetste:

Draghi states that the EU’s growth model is COLLAPSING and that drastic measures are needed, including a “radical simplification” of the GDPR and postponing the rules on high-risk AI”

En daarmee en passant de Europese werkzoeker onder de (Omni)bus gooide. Maar nog niet alles is verloren, twee NGO’s (Corporate Europe Observatory en Lobby Control) hebben de “vereenvoudigings”voorstellen van de Europese Commissie vergeleken met de lobbystandpunten van Big Tech en aanverwante organisaties. Voordat ik daar aan toekom eerst nog even het volgende:

In het verleden heeft Big Tech herhaaldelijk ad nauseam de eenzijdige lobbyboodschap verspreid dat gegevensbescherming de economische groei en innovatie belemmert,  met name op het gebied van AI. Dit omvatte uitzonderingen voor het mkb en een fundamentele focus op het  meer benutten van data in plaats van het beschermen ervan.
Technologiebedrijven verspreiden deze boodschappen met behulp van een hoog lobbybudget, een groot lobbynetwerk en steun van de Trump-administratie. De jaarlijkse lobby-uitgaven van de digitale industrie zijn gestegen van  €113 miljoen in 2023 naar €151 miljoen nu – een toename van bijna 34% in slechts twee jaar.
De Europese Commissie lijkt nu te zwichten voor deze lobbydruk en neemt belangrijke lobbyboodschappen van Google, Microsoft, Meta en hun vele lobbyorganisaties over in haar Digitale Omnibus.

Maar genoeg gereuteld over de piketpaaltjes, laat ik de inhoud eens induiken. Ik doe dat voor een drietal voorgestelde wijzigingen, het beperken van de definitie van persoonsgegevens,

Het beperken van de definitie van persoonsgegevens
Hieronder is de informatie uit de Digital Omnibus vergeleken met de lobbypositie van Big Tech:
 
Beperken definitie van persoonsgegevens

De huidige AVG hanteert een objectieve standaard voor wat als persoonsgegevens telt. De nieuwe plannen maken dit subjectief: de bescherming geldt alleen als een bedrijf zelf beweert de middelen te hebben om iemand te identificeren. Hierdoor kunnen bedrijven onder privacyregels uitkomen door simpelweg te stellen dat zij een persoon niet kunnen herleiden.

Een groot risico is dat gepseudonimiseerde gegevens niet langer beschermd zijn, zelfs als andere partijen (zoals datahandelaren) diezelfde gegevens wel kunnen koppelen aan een specifiek individu. Hierdoor kunnen gegevens vrij verhandeld worden zonder de strikte waarborgen van de AVG, terwijl de privacy van de betrokkene bij de uiteindelijke ontvanger alsnog wordt geschonden.

Grote techbedrijven zoals Google en Meta kunnen tracking-activiteiten buiten de AVG-wetgeving plaatsen. Door te claimen dat verzamelde data op hun platformen niet direct herleidbaar is naar een natuurlijke persoon, vervalt de noodzaak voor:

• Expliciete toestemming voor verwerking

• Het recht op inzage of verwijdering door de gebruiker

• Toezicht op hoe deze data voor algoritmes wordt ingezet

Deze voorgestelde wijziging geeft bedrijven speelruimte om zelf te beslissen wanneer de AVG wel of niet van toepassing is. Voor een privépersoon wordt het nagenoeg onmogelijk om aan te tonen dat een bedrijf wel degelijk de middelen had tot identificatie, wat de rechtspositie van de consument aanzienlijk verzwakt.

Alles leuk en aardig, maar wat kunnen de gevolgen zijn als de definitie van persoonsgegevens veranderd gaat worden? Het zou zomaar kunnen zijn dat een individu de volgende rechten en waarborgen die de AVG momenteel biedt, gaat verliezen:

1. Recht op inzage en kopie (Artikel 15). U kunt niet langer opvragen welke informatie een bedrijf over u heeft verzameld. Omdat het bedrijf stelt dat de data niet naar u herleidbaar is, hoeven zij deze niet te tonen of te overhandigen.
2. Recht op rectificatie en verwijdering (Artikel 16 & 17). Het ‘recht om vergeten te worden’ vervalt. Als er onjuiste informatie over u wordt verwerkt of als u wilt dat uw data wordt gewist, kan het bedrijf dit weigeren met het argument dat de data niet ‘van u’ is.
3. Recht op bezwaar en beperking (Artikel 18 & 21), U verliest de mogelijkheid om u te verzetten tegen specifieke vormen van verwerking, zoals het gebruik van uw surfgedrag voor marketingprofielen. Bedrijven kunnen de data onbeperkt blijven gebruiken voor hun eigen doeleinden.
4. Recht op overdraagbaarheid (Artikel 20). Het recht om uw gegevens mee te nemen naar een andere dienstverlener (dataportabiliteit) vervalt, aangezien de data officieel niet meer aan uw identiteit gekoppeld is.
5. Bescherming tegen geautomatiseerde besluitvorming (Artikel 22). De AVG biedt bescherming tegen besluiten die uitsluitend op basis van algoritmes worden genomen. Als deze algoritmes werken met ‘niet-persoonlijke’ data, vervallen de strikte regels over menselijke tussenkomst en transparantie bij dergelijke besluiten.
6. Meldplicht bij datalekken. Als de gepseudonimiseerde gegevens worden gestolen of op straat komen te liggen, hoeft het bedrijf dit niet te melden aan de Autoriteit Persoonsgegevens of aan de betrokkenen, omdat er officieel geen ‘persoonsgegevens’ zijn gelekt.
7. Grondslag en doelbinding. Bedrijven hoeven geen specifieke wettelijke grondslag (zoals toestemming of gerechtvaardigd belang) meer te hebben voor de verwerking. Ook het principe van doelbinding — dat data alleen gebruikt mag worden voor het doel waarvoor het verzameld is — is dan niet meer van toepassing.

Zijn we al een beetje geschrokken? Of lopen we de polka omdat grootschalig misbruik plotseling tot de mogelijkheden lijkt te gaan behoren?

Het beperken van uw recht op toegang tot uw eigen gegevens
Hieronder is de informatie uit de Digital Omnibus vergeleken met de lobbypositie van Big Tech:

Het beperken van uw recht op toegang tot uw eigen gegevens

De AVG als verdienmodel, die had ik nog niet meegemaakt.

Momenteel kan iedereen een kopie van zijn of haar persoonsgegevens opvragen bij elk bedrijf of elke organisatie die deze gegevens bewaart. De Commissie is echter van plan dit recht te beperken als iemand er misbruik van maakt.

Dit zal de rechten van individuen om te weten welke van hun gegevens door grote technologiebedrijven worden bewaard, ernstig beperken. Zo  wonnen chauffeurs van Uber en Ola die in 2023 door geautomatiseerde systemen waren ontslagen een rechtszaak tegen het bedrijf nadat het de toegang tot hun werkgerelateerde gegevens had geweigerd. Ola betoogde dat de verzoeken van de chauffeurs om gegevens neerkwamen op een schending van de privacyrechten, een argument dat de Commissie nu een wettelijke basis wil geven.

Dit maakt het moeilijker om Big Tech ter verantwoording te roepen en hun onrechtmatige praktijken aan te vechten. “Het voorstel dreigt een instrument van tegenmacht te ontmantelen”, zoals academicus René Mahieu  schrijft .

In tegenstelling tot wat de industrie beweert, en wat de Duitse overheid ook onderschrijft, zijn het niet de burgers die hun recht op inzage in hun eigen gegevens hebben ‘misbruikt’, maar juist de technologiebedrijven die dit recht hebben genegeerd. Volgens privacyorganisatie NOYB wordt 90 procent van de verzoeken om gegevensinzage niet ingewilligd . In één geval duurde het  meer dan vijf jaar voordat YouTube een specifiek verzoek om gegevensinzage inwilligde.

Uw persoonlijke gegevens gebruiken voor het trainen van AI

Uw persoonlijke gegevens gebruiken voor het trainen van AI

Generatieve AI-modellen worden getraind op enorme hoeveelheden data. De Commissie is van plan het trainen van AI-modellen met persoonsgegevens, waaronder zeer gevoelige gegevens zoals seksualiteit, politieke overtuigingen of etniciteit, zonder actieve toestemming toe te staan. Persoonsgegevens worden alleen beschermd tegen gebruik voor het trainen van AI-modellen als zij zich daar expliciet voor afmelden.

Technologiebedrijven kunnen in principe alle persoonlijke gegevens op internet verzamelen om hun AI-modellen te trainen zonder actieve toestemming (hoewel afmelden nog steeds mogelijk is). De bescherming van gevoelige gegevens voor AI-training, zoals politieke overtuigingen, vakbondslidmaatschap of seksualiteit, wordt hierdoor ook verzwakt.

Er bestaat een risico op ‘datalekken’, waarbij AI-systemen de persoonlijke gegevens waarop ze zijn getraind reproduceren of valse informatie produceren. In één zo’n geval werd een journalist door een chatbot van Microsoft ten onrechte beschuldigd van kindermisbruik, terwijl hij in werkelijkheid alleen artikelen had gepubliceerd over strafrechtelijke procedures hierover. Het AI-systeem, in wezen een statistisch programma, had deze informatie samengevoegd en hem als crimineel afgeschilderd.

Grote technologiebedrijven zoals Meta, Google en X kunnen hiervan profiteren, omdat ze hun AI-modellen kunnen trainen met enorme hoeveelheden persoonlijke gegevens die via hun platforms worden verzameld.

Er zijn nog meer veranderingen opgenomen in de Digital Omnibus maar ik voel dat de spanningsboog van de lezer op knappen staat. Misschien daarom later meer.