Komt er eindelijk verlichting in de digitale regeldruk? De Digitale Omnibus bundelt en herijkt AI-, privacy- en datawetgeving. Minder versnippering, meer ademruimte – maar geen vrijbrief. Wat verandert er écht voor GC’s?
De afgelopen jaren kregen bedrijven te maken met een reeks nieuwe wetgeving op het gebied van AI, data, technologie en (cyber)security. In de praktijk leidde dat niet alleen tot hogere compliance-druk, maar ook tot overlap, onduidelijkheid en uitvoeringsproblemen.
Nu volgt een nieuwe stap: de Digitale Omnibusverordening. De Europese Commissie wil hiermee bestaande digitale wetten niet vervangen, maar bijstellen, bundelen en uitvoerbaarder maken. Dat klinkt als deregulering, maar is dat ook zo? Wat betekent dit in de praktijk, en hoe zorg je dat je als General Counsel strategisch voorbereid bent? Hieronder bespreken we in vogelvlucht de belangrijkste wijzigingen en vertalen we die naar concrete acties.
AI Act: meer tijd, meer eigen keuzes
Onder de AI Act gold een algemene verplichting voor aanbieders en gebruikers van AI‑systemen om te zorgen voor voldoende AI-geletterdheid bij medewerkers die met AI werken. In het Omnibusvoorstel wordt die directe verplichting voor bedrijven geschrapt. In plaats daarvan krijgen Commissie en lidstaten de opdracht om AI-geletterdheid te bevorderen, waarbij lidstaten dit alsnog kunnen omzetten in nationale verplichtingen voor bedrijven.
Voor high‑risk AI-systemen worden de verplichtingen niet langer op vaste data, maar veel praktijkgerichter uitgerold. De kernverplichtingen gaan gefaseerd lopen en gelden pas volledig zodra er voldoende geharmoniseerde standaarden zijn, en het stelsel van conformiteitsbeoordeling in de praktijk functioneert. De eindlijn blijft echter staan: uiterlijk in 2027 moet het stelsel staan. Dit geeft organisaties tijdelijk meer implementatieruimte, maar verandert weinig aan de uitkomst.
AVG: scherpere afbakening, meer ruimte, minder meldlast
De Digitale Omnibus bevat een gerichte herijking van de AVG met als doel meer juridische duidelijkheid en minder onnodige administratieve lasten. Voor General Counsels springen vier punten eruit.
Ten eerste worden operationele verplichtingen vereenvoudigd, waaronder DPIA’s en incident- en datalekmeldingen. Alleen hoog-risico datalekken hoeven nog gemeld te worden, met een meldtermijn van 96 uur in plaats van 72 uur. Meldroutes worden meer geharmoniseerd en gecentraliseerd.
Ten tweede worden de regels rond cookies en (cross-site) tracking opgeschoond en meer geharmoniseerd, met nadruk op heldere informatie en daadwerkelijk vrije keuze (o.a. via machineleesbare toestemmingssignalen en browserinstellingen).
Ten derde worden aanknopingspunten geïntroduceerd om de inzet van persoonsgegevens voor AI-ontwikkeling beter te kaderen. In bepaalde scenario’s wordt een beroep op gerechtvaardigd belang voor AI-training en -gebruik explicieter toegestaan, mits passende waarborgen worden toegepast.
Ten slotte wordt de definitie van “persoonsgegevens” verduidelijkt om scherper te maken wanneer data voor een organisatie wel of niet als persoonsgegeven kwalificeren, met name bij pseudonimisering en datadeling.
Data Act: één geconsolideerd datakader
De voorstellen rond de Data Act beogen één regime voor data-toegang en hergebruik. Dat betekent minder versnippering doordat regels uit o.a. de Data Governance Act, de Free Flow of Non-Personal Data Regulation en de Open Data Directive worden geconsolideerd en geharmoniseerd.
Tegelijkertijd wordt de Data Act pragmatischer. Denk aan explicietere bescherming van handelsgeheimen, minder vergaande verplichtingen richting derde landen, beperktere ruimte voor overheden om data op te vragen (met compensatie voor mkb) en verlichting waar verplichtingen in de praktijk moeilijk uitvoerbaar bleken, zoals bij cloud switching. Ook wordt B2G-datadeling beperkt tot echte publieke noodsituaties.
Voor bedrijven betekent dit: minder overlap, maar een centralere rol voor de Data Act in contracten, IT governance en datastrategie.
Wat betekent dit concreet voor bedrijven?
Als het voorstel in deze lijn wordt aangenomen, doen bedrijven er goed aan om de regie te pakken op drie punten:
- Privacy: herbeoordeel privacybeleid en datadelingscontracten en check of datalek- en incidentprocedures nog aansluiten bij de nieuwe regels. Beoordeel AI-use cases op grondslag, belangenafweging en transparantie.
- AI governance: niets terugschalen. Gebruik de extra tijd om high-risk use cases in kaart te brengen, rollen en verantwoordelijkheden vast te leggen en bewijsvoering (dossiers) op te bouwen.
- Data- en cloudcontracten: ook hier geldt “doorwerken”. Vertaal de centralere Data Act naar standaardclausules over toegang en delen van data, bescherming van bedrijfsgeheimen, derde-landenrisico’s en switching/exit.
Conclusie
De Digitale Omnibus belooft minder versnippering en geeft iets meer ademruimte. Tegelijkertijd vraagt zij om volwassen governance en onderbouwde keuzes. Wie dit leest als deregulering, loopt het risico achter de feiten aan te blijven lopen.
* Tomas van Oostrom (Intellectual Property & Technology bij Dentons) schreef mee aan deze blog.
