Digitale omnibus: EU-Commissie wil kernbeginselen GDPR om zeep helpen

• Volledige tekst van het voorstel van de EU-Commissie

Grootste bezuiniging op privacyrechten in jaren. Lobbygroepen uit de industrie hebben met succes gebruik gemaakt van de Europese angst voor wereldwijde economische druk om op te roepen tot enorme bezuinigingen op de digitale rechten van de Europeanen. De abrupte veranderingen die vandaag werden voorgesteld, kunnen een ondermijning betekenen van meer dan 40 jaar duidelijk Europees standpunt tegen commerciële bewaking door particuliere actoren, zoals ook vastgelegd in artikel 8 van het Europees Handvest van de grondrechten en breed gedragen door het Europese publiek.

Max Schrems: "De Digitale Omnibus zou vooral ten goede komen aan grote bedrijven in de technologiesector, terwijl er geen tastbare voordelen zouden zijn voor de gemiddelde bedrijven in de EU. Deze voorgestelde hervorming is een teken van paniek over het vormgeven van Europa's digitale toekomst, geen teken van leiderschap. Wat we echt nodig hebben is een strategisch, goed ontworpen langetermijnplan om Europa vooruit te helpen."

Weinig politieke steun voor veranderingen. De Europese Commissie heeft deze GDPR-hervorming uit de hoge hoed getoverd ondanks het feit dat de meeste EU-lidstaten expliciet hadden gevraagd om de GDPR niet te heropenen. Bovendien hebben uitgelekte teksten vorige week geleid tot sterk verzet van de centrum- en linkse fracties van het Europees Parlement (S&D, Vernieuwen en Groenen) die de Commissie expliciet opriepen om te stoppen met deze enorme bezuinigingen op de GDPR. Bovendien, 127 maatschappelijke organisaties (waaronder noyb) zware kritiek geuit op de onverwachte inval van de Commissie en de uitgelekte tekst.

Desondanks is vandaag, onder leiding van Commissievoorzitter Ursula von der Leyen, Vicevoorzitter Henna Virkkunen en Michael McGrath, commissaris voor Justitie, heeft de Commissie besloten om door te gaan met grote bezuinigingen op de GDPR. Er wordt gesproken over massale politieke druk binnen de Commissie om wetten te schrappen - zonder de juiste procedure of analyse.

Max Schrems: "Er is beperkte politieke steun voor deze bezuinigingen bij het publiek, de lidstaten en het Europees Parlement. Het lijkt erop dat de Europese Commissie gewoon probeert om iedereen voorbij te streven via een 'fast track'-procedure, die meer weg heeft van een paniekreactie dan van weloverwogen, op bewijs gebaseerde wetgeving."

Achtergrond: Duitse of Amerikaanse invloed? Een van de drijvende krachten achter de hervorming waarvoor "papieren bewijs" bestaat is Duitsland. Sommige stemmen wijzen ook op recente berichtgeving van Politicodat Virkkunens boodschap aan Amerikaanse bedrijven tijdens directe ontmoetingen was dat de EU "bedrijfsvriendelijker" zal worden. Er zijn ook berichten over toenemende druk van de regering Trump op de EU om te bezuinigen op bescherming om tarieven te vermijden.

Hoewel het onduidelijk is waar de druk precies vandaan komt, is het duidelijk dat de Europese Commissie verrassend en heimelijk veel verder is gegaan dan het oorspronkelijke plan voor de "Digitale Omnibus"die niet geen wijzigingen in de GDPR had mogen bevatten.

EU Commissie "gaat snel - en maakt dingen kapot". In plaats van vast te houden aan het oorspronkelijke plan van een "digitale fitnesscheck" in 2026 om de administratieve lasten te verlichten, lijkt de Europese Commissie het motto van Silicon Valley te hebben gevolgd om "snel te handelen en dingen kapot te maken"snel bewegen en dingen kapotmaken"om hervormingen van kernregels door te drukken in een "fast track" procedure. Door het ontbreken van een effectbeoordeling of het verzamelen van bewijsmateriaal worden lang gevestigde principes van minimale normen voor het maken van EU-wetgeving overboord gegooid en wordt een "Trump'iaans" type van grillige veranderingen gevolgd. Het gevolg is een zeer slechte formulering en wetgeving die niet geschikt is voor het beoogde doel.

Max Schrems: "Deze veranderingen zijn gebeurd zonder goede procedures en zijn niet gebaseerd op bewijs, maar eerder op angst en beweringen van de industrie. snel handelen en dingen kapotmaken' is geen motto dat werkt om wetgeving door te drukken die niet alleen het leven van 450 miljoen mensen beïnvloedt, maar uiteindelijk ook het goed functioneren van onze samenlevingen en democratieën."

"AI-tunnelvisie". De voorgestelde hervorming van de GDPR lijkt in de eerste plaats gericht op het wegnemen van obstakels die het gebruik van persoonlijke gegevens, zoals gegevens van sociale media, voor AI zouden kunnen beperken. Veel van deze veranderingen zouden echter enorme gevolgen hebben voor de maatschappij op andere gebieden dan AI, zoals online reclame.

Max Schrems: "Kunstmatige intelligentie is misschien wel een van de meest impactvolle en gevaarlijke technologieën voor onze democratie en samenleving. Toch heeft het verhaal van een 'AI-race' ertoe geleid dat politici zelfs beschermingsmaatregelen uit het raam hebben gegooid die ons juist hadden moeten beschermen tegen het feit dat al onze gegevens in een groot ondoorzichtig algoritme terechtkomen."

Geen voordelen voor Europese KMO's - maar de sluizen openzetten voor de "grote jongens". Ondanks veelvuldige beloften om vooral de lasten voor kleine Europese bedrijven te verlichten, zijn de voorgestelde veranderingen alles dan een vereenvoudiging. De meeste artikelen worden complexer, onduidelijker en onlogischer. In plaats van te werken aan het verminderen van de behoefte aan papierwerk (wat het grootste probleem is voor Europese bedrijven) introduceert de Commissie juridische achterpoortjes die alleen grote bedrijven en grote advocatenkantoren zullen kunnen benutten.

Max Schrems: "Hoewel de Commissie voortdurend beweert dat deze hervorming goed zou zijn voor kleine bedrijven, zit er heel weinig voor hen in deze veranderingen. De veranderingen in de gevestigde wetgeving zullen alleen maar leiden tot meer marktconcentratie, meer rechtsonzekerheid, nieuwe rechtszaken en duurder juridisch advies. De enige echte begunstigden zijn de grote technologiebedrijven en advocatenkantoren."

Dood door 1000 sneden. Volgens de openbare raadpleging van de Commissie in oktober hadden de gegevensbeschermingsaspecten van het voorstel zich vooral moeten richten op het aanpakken van "cookie banner"-moeheid. Vandaag kwam de Commissie echter met diepgaande bezuinigingen op de GDPR. Veel van deze bezuinigingen lijken in strijd, of op zijn minst in strijd, met het recht op gegevensbescherming in artikel 8 van het Handvest van de grondrechten van de EU.

Hier is een eerste overzicht van de belangrijkste problemen:

(1) Een nieuwe GDPR maas in de wet via "pseudoniemen" of "ID's". De Commissie stelt voor om de definitie van "persoonsgegevens" aanzienlijk te versmallen - wat ertoe zou leiden dat de GDPR niet van toepassing zou zijn op veel bedrijven in verschillende sectoren. Sectoren die momenteel bijvoorbeeld werken met "pseudoniemen" of willekeurige ID-nummers, zoals gegevensmakelaars of de reclame-industrie, zouden niet meer (volledig) gedekt zijn. Dit zou gebeuren door een "subjectieve benadering" in de tekst van de GDPR.

In plaats van een objectieve definitie van persoonsgegevens (bijv. gegevens die gekoppeld zijn aan een direct of indirect identificeerbare persoon), zou een subjectieve definitie betekenen dat als een bepaald bedrijf beweert dat het (nog) niet kan of niet tot doel heeft om (momenteel) te identificeren een persoon te identificeren, de GDPR niet langer van toepassing is. Een dergelijke beslissing per geval is inherent complexer en allesbehalve een "vereenvoudiging". Het betekent ook dat gegevens "persoonlijk" kunnen zijn of niet, afhankelijk van de interne denkwijze van een bedrijf, of gezien de omstandigheden die ze op een bepaald moment hebben. Dit kan ook de samenwerking tussen bedrijven complexer maken, aangezien sommige onder de GDPR zouden vallen en andere niet.

Verder is een dergelijke "subjectief"definitie het onmogelijk voor gebruikers of autoriteiten om te weten of de GDPR in elk geval van toepassing is. In de praktijk kan dit ervoor zorgen dat de GDPR nauwelijks afdwingbaar is vanwege eindeloze discussies en meningsverschillen over de ware bedoelingen en plannen van een bedrijf.

Max Schrems: "Het is als een wapenwet die alleen van toepassing is op wapens als de eigenaar bevestigt dat hij in staat is om met een wapen om te gaan, en van plan is om iemand neer te schieten. Het is duidelijk hoe absurd zulke subjectieve definities zijn."

(2) Persoonlijke gegevens van je apparaat halen? Tot nu toe heeft artikel 5, lid 3, ePrivacy gebruikers beschermd tegen toegang op afstand tot gegevens die zijn opgeslagen op "eindapparatuur", zoals pc's of smartphones. Dit is gebaseerd op het recht op bescherming van communicatie op grond van artikel 7 van het Handvest van de grondrechten van de EU en zorgde ervoor dat bedrijven apparaten niet "op afstand kunnen doorzoeken".

De Commissie voegt nu "wit opgesomde" verwerkingsactiviteiten toe voor de toegang tot eindapparatuur, waaronder "geaggregeerde statistieken" en "beveiligingsdoeleinden". Hoewel de algemene richting van de veranderingen begrijpelijk is, is de formulering extreem permissief en zou deze ook buitensporige "zoekopdrachten" op apparaten van gebruikers voor (minieme) beveiligingsdoeleinden toestaan.

(3) AI Training van Meta of Google met persoonlijke gegevens van de EU? Toen Meta of LinkedIn begonnen met het gebruik van social media gegevens, was dat alom niet populair. In een recent onderzoek bijvoorbeeld zegt slechts 7% van de Duitsers dat ze willen dat Meta hun persoonlijke gegevens gebruikt om AI te trainen. Toch wil de Commissie nu het gebruik van zeer persoonlijke gegevens (zoals de inhoud van 15+ jaar van een social media profiel) voor AI-training door Big Tech toestaan.

Max Schrems: "Er is absoluut geen publieke steun voor Meta of Google om de persoonlijke gegevens van Europeanen op te nemen in hun algoritmes. Jarenlang kregen we te horen dat mensen zich geen zorgen hoefden te maken, omdat onze persoonlijke gegevens zullen worden gebruikt om ons te 'verbinden', of in het beste geval zullen worden gebruikt voor het targeten van een of andere advertentie. Nu worden al je gegevens in de algoritmes van Meta, Google of Amazon gestopt. Dit maakt het makkelijker voor AI-systemen om zelfs de meest intieme details te weten te komen - en dus mensen te manipuleren. Dit komt vooral ten goede aan de triljoen dollar kostende Amerikaanse industrie die op onze persoonlijke gegevens gebaseerde modellen bouwt."

De Europese Commissie voorziet dat gebruikers zich kunnen afmelden, maar bedrijven en gebruikers weten meestal niet wiens gegevens in een trainingsdataset zitten. Zelfs als ze dat wel zouden weten, zouden gebruikers zich duizenden keren per jaar moeten afmelden, telkens wanneer een ander bedrijf een algoritme traint met hun gegevens.

Max Schrems: "De opt-out benadering werkt niet in de praktijk. Bedrijven hebben niet de contractgegevens van gebruikers en gebruikers weten niet wie er traint op basis van hun gegevens. Deze opt-out benadering is een poging van de Commissie om een vijgenblad te leggen over deze duidelijk onwettige verwerkingsactiviteit."

De Commissie wil niet alleen de training van AI-systemen privilegiëren, maar ook de "werking" van dergelijke systemen. Dit zou neerkomen op een "wildcard" waarbij anders illegale verwerking legaal zou worden, alleen maar omdat het met behulp van AI gebeurt.

Max Schrems: "Normaal gesproken moeten riskantere technologieën aan een hogere norm voldoen. Het voorstel van de Commissie zet nu de sluizen open zodra AI wordt gebruikt - terwijl traditionele gegevensverwerking nog steeds onder de huidige wetten zou vallen. Dat is krankzinnig."

(4) Gebruikersrechten tot bijna nul teruggebracht - op Duits verzoek? Op basis van een nationaal debat dat GDPR-toegangsrechten kunnen worden gebruikt om bijvoorbeeld wanbetaling in arbeidscontracten aan te tonen, eiste de Duitse regering een enorme beperking van deze rechten - Ze beschouwt dergelijk gebruik als "misbruik", hoewel de GDPR al een "misbruik"-clausule bevat. De Commissie heeft die Duitse eis gevolgd en stelt voor om het gebruik van het recht van toegang voor de betrokkene te beperken tot "gegevensbeschermingsdoeleinden".

Omgekeerd betekent dit dat als een werknemer een verzoek om toegang gebruikt in een arbeidsgeschil over onbetaalde uren - bijvoorbeeld om een overzicht te krijgen van de uren die hij heeft gewerkt - de werkgever het verzoek zou kunnen afwijzen als "misbruik". Hetzelfde geldt voor journalisten of onderzoekers. In een brede lezing zou dit zelfs nog verder kunnen gaan. Als een persoon toegang tot zijn gegevens vraagt om vervolgens valse kredietwaardigheidsgegevens te wissen om een goedkopere lening bij de bank te krijgen, mogen dergelijke rechten niet louter voor een "gegevensbeschermingsdoel" worden uitgeoefend, maar uit economisch belang.

Deze beperking is een duidelijke schending van de jurisprudentie van het HvJEU en van artikel 8, lid 2, van het Handvest. Het recht op informatieve zelfbeschikking is expliciet bedoeld om de informatiekloof tussen gebruikers en de bedrijven die de informatie bezitten te dichten, aangezien steeds meer informatie verborgen blijft op bedrijfsservers (bijv. kopieën van urenstaten). Het HvJEU heeft meerdere malen geoordeeld dat men deze rechten kan uitoefenen voor elk doel - inclusief rechtszaken of het genereren van bewijs.

Max Schrems: "Deze wijziging is een duidelijke schending van het Handvest en de jurisprudentie van het HvJEU. Het zal door controllers in heel Europa worden gebruikt om de rechten van gebruikers verder te ondermijnen. De realiteit is dat er geen sprake is van wijdverspreid misbruik van GDPR-rechten door burgers, maar van wijdverspreide niet-naleving door bedrijven. De rechten van gebruikers nog verder beknotten laat zien hoe ver de Commissie afstaat van de dagelijkse ervaring van gebruikers."