EU herschikt de privacykaarten: minder regeltjes, minder privacy?  

Spring aan boord van de Omnibus

privacy

De ‘Digitale Omnibus’ markeert een nieuw beleid rond privacybescherming in de EU om de administratieve last voor bedrijven te verlagen. Privacy-strijders zien eerder een knieval naar de Verenigde Staten.  

De Europese Unie staat bekend als een baken van privacy. Wettelijke kaders zoals de GDPR en de AI Act bepalen duidelijke lijnen waarbinnen technologiebedrijven mogen kleuren. Het Europese privacykader was echter een tweesnijdend zwaard: de regels waren bedoeld om de grote techreuzen in het gareel te houden, maar voor lokale kmo’s betekenden ze toch vooral een zware administratieve last.  

2026 lijkt een kantelpunt te worden voor privacywetgeving in Europa. De EU verandert het geweer van schouder: in november zag de ‘Digitale Omnibus’ het levenslicht. Die zal het wettelijk kader waarin technologiebedrijven opereren, grondig hertekenen.  

Ter ere van Data Privacy Day, nota bene een uitvinding van de Europese Raad, bespreken we de belangrijkste veranderingen die op stil staan voor privacywetgeving in Europa en wat de impact zal zijn op jouw privacy. 

Tien jaar GDPR: een hobbelig parcours 

Beginnen doen we in 2016. 14 april 2016 om precies te zijn: de geboortedag van de GDPR (AVG). De wetgeving was tien jaar geleden revolutionair, want het was de eerste van zijn soort wereldwijd. Met de GDPR kwamen er striktere regels voor het verwerken van ‘persoonlijke gegevens’ in Europa. Techbedrijven moeten gegevens van burgers op Europese bodem bewaren en mogen die niet gebruiken voor commerciële doeleinden zonder toestemming.  

Het zou nog jaar twee duren, tot mei 2018, voordat de wet volledig in werking trad. De timing kon niet beter: het Cambridge Analytia-schandaal met Facebook als spilfiguur had de wereld duidelijk gemaakt dat achter digitale diensten een perverse dataverzamelingsmachine zit. De GDPR zou dan ook effect tot ver buiten het Europese grondgebied hebben, nadat enkele Aziatische landen en Amerikaanse staten gelijkaardige privavyregels invoerden. 

gdpr
De GDPR is een gedeeld succes.

Tien jaar later zijn de meningen over de GDPR verdeeld. Waar de wetgeving ons zeker bewuster heeft doen nadenken over wat we online delen, zullen critici stellen dat de wet te weinig tanden heeft getoond om techbedrijven tot inkeer te brengen. Boetes volgen wanneer het kwaad al lang geschied is. Kleine bedrijven verdrinken in papierwerk en consumenten ergeren zich mateloos aan die cookievensters. 

AI zet privacy onder druk 

De GDPR bleek niet opgewassen tegen de volgende golf van massale datascraping waarvoor AI-modellen verantwoordelijk zijn. Om ChatGPT, Gemini en co te trainen, hebben de techreuzen het volledige internet afgeschraapt. Chatbots verspreiden daardoor persoonlijke en vaak zelfs volledig onjuiste informatie over personen, zonder mogelijkheid om die te laten verwijderen of aanpassen.  

AI heeft de spelregels veranderd, en dus moest de EU volgen. Sinds 2024 wordt de AI Act met mondjesmaat ingevoerd. Deze wet roept ontwikkelaars AI-systemen op om transparant en verantwoord om te gaan met gegevens die ze aan modellen voeden.  

De techindustrie zag het echter als weer een nieuw stukje wetgeving in het al complexe wettelijke kader in Europa. Ook Europese bedrijven durfden deze keer hun ongenoegen uitspreken, zoals tijdens de laatste editie van de MWC-beurs hoorbaar was. De EU wilde eerst de autogordel en dan pas de auto uitvinden, luidde de metaforische kritiek.  

lees ook

MWC 2025: Europa mist de AI-trein, maar heeft wel de beste veiligheidsriemen 

Minder administratie 

Deze lange aanloop brengt ons tot bij de Omnibus. De Europese Unie lijkt naar bedrijven te luisteren, want de focus ligt op het verminderen van de complexiteit. Minder administratie wordt gelijkgesteld met meer concurrentiekracht voor de Europese markt. Echter zullen Amerikaanse bedrijven ook niet om minder regeltjes malen. Dat geldt niet alleen voor technologie: de Omnibus I van februari 2025 haalt de rode stift door de ESG-wetgeving.  

De Omnibus is in de volgende zes kernpunten samen te vatten: 

  • Minder administratieve lasten, vooral voor kmo’s, verenigingen en organisaties met laag-risicoverwerkingen; 
  • Verduidelijking van wat onder de term ‘persoonsgegevens’ valt; 
  • Inkapseling van de e-privacyrichtlijnen in de GDPR; 
  • Meer ruimte voor gebruik persoonsgegevens voor training AI-modellen; 
  • Eén centraal meldpunt voor datalekken en incidenten. 

De vernieuwde richtlijnen voorzien ook uitstel van enkele maatregelen tegen ‘hoogrisico’ AI-systemen, zoals biometrische identificatie en ordehandhaving, tot december 2027. “Vereenvoudiging is geen deregulering”, maakt de Commissie duidelijk bij de aankondiging van Omnibus.  

Het valt nog af te wachten welke impact het Omnibus-pakket zal hebben op andere wetgeving. Zo treedt normaal gezien de Data Act dit jaar in voege. Die wetgeving voorziet richtlijnen rond data-uitwisselingen in een B2B-context en de toegankelijkheid van gegevens voor gebruikers van digitale diensten.  

lees ook

Beltug: ‘Data Act brengt een beetje evenwicht tussen cloudproviders en zakelijke klanten’

Knieval voor Amerika 

Privacy-activisten hebben een ander interpretatie. Zij zien de voorgestelde vereenvoudiging toch vooral als een afzwakking van het Europese privacykader dat ooit als voorbeeld voor de wereld diende. De Omnibus-regels waren nog maar pas aangekondigd of de Oostenrijkse vereniging Noyb stond al op de steigers.  

Harde woorden worden daarbij niet geschuwd. Max Schrems, het publieke gezicht van de organisatie, spreekt van een ‘aanval op de digitale rechten in de EU’ en vindt dat ‘de kernwaarden van de GDPR gesloopt worden’. Noyb is niet de minste tegenstander: Schrems wist tot twee keer toe al een akkoord voor datatransfers tussen de EU en de VS ten val te brengen. 

lees ook

De cloud illegaal? Soevereiniteit als heilige graal voor Europese IT-sector

Schrems valt voornamelijk over het feit dat AI-bedrijven veel eenvoudiger toegang krijgen tot de persoonlijke gegevens van burgers. Ook valt de bescherming van gevoelige gegevens weg. De Europese Commissie geeft met de gereviseerde regels toe aan druk vanuit Washington, aldus Noyb. Trump en zijn kompanen steken niet onder stoelen of banken wat ze van de Europese regels vinden.  

Kantelpunt  

Maar ook invloedrijke Europese leiders zoals Macron roepen zelf luidop dat regels innovatie in de weg staan.  De EU lijkt op zijn minst bereid een scheut water bij zijn privacy-wijn te gieten. Niet enkel om Trump te vriend te houden, maar ook om de eigen bedrijven zo weinig mogelijk in de weg te leggen om te kunnen wedijveren met Amerikaanse marktleiders.  

Onze digitale privacy staat op een kantelpunt. Idealistische principes botsen alsmaar meer op de politieke en economische realiteit. De Europese Unie wil op eigen technologische benen staan en dan wordt privacy eerder als een obstakel dan een hulpmiddel gezien. Zal privacy moeten wijken voor competitiviteit? Data Privacy Day lijkt vandaag actueler dan ooit.  

Idealistische principes botsen op de politieke en economische realiteit.