Europese privacytoezichthouders uiten kritiek op voorgestelde AVG-aanpassingen
De European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) uiten in een gezamenlijke verklaring hun zorgen over voorgestelde wijzigingen aan de Algemene verordening gegevensbescherming (AVG). Zij roepen Europese beleidsmakers zich tegen de wijzigingen te keren.
Het gaat concreet om Digital Omnibus, een voorstel dat de Europese Commissie eind vorig jaar presenteerde om de AVG te vernieuwen. In de praktijk verzwakt het voorstel de AVG op verschillende gebieden. Zo gaat onder meer de definitie van persoonsgegevens op de schop, komt er meer ruimte voor het gebruik van data voor het trainen van AI-modellen en mogen bijzondere persoonsgegevens in sommige gevallen worden verwerkt voor verificatiedoeleinden.
Het voorstel is volgens de Europese Commissie bedoeld om het concurrentievermogen van de Europese Unie (EU) te versterken. Europese privacytoezichthouders zijn echter kritisch. "Sommige voorgestelde wijzigingen roepen aanzienlijke zorgen op, omdat deze het beschermingsniveau voor individuen kunnen verlagen, rechtsonzekerheid kunnen creëren en de toepassing van de gegevensbeschermingswetgeving kunnen bemoeilijken, aldus de European Data Protection Board (EDPB).
Kritisch
De toezichthouders zijn met name kritisch over voorgestelde wijzigingen in de definitie van persoonsgegevens worden afgeraden, omdat deze verder gaan dan een technische aanpassing en niet aansluiten bij de rechtspraak van het Hof van Justitie van de EU. Ook zou de Europese Commissie niet de bevoegdheid moeten krijgen om via een uitvoeringshandeling te bepalen wat na pseudonymisering geen persoonsgegevens meer zijn, aangezien dit direct invloed heeft op de reikwijdte van de EU-gegevensbeschermingswetgeving.
Tegelijkertijd wijzen de toezichthouders ook op een aantal positieve ontwikkelingen in het voorstel. Denk daarbij aan de verhoging van de drempelwaarde voor het melden van datalekken en de verlenging van de meldtermijn, wat de administratieve lasten voor organisaties vermindert zonder de bescherming van persoonsgegevens aan te tasten. Daarnaast worden de voorgestelde gemeenschappelijke sjablonen voor datalekken en gegevensbeschermingseffectbeoordelingen, alsmede de introductie van een nieuwe afwijking voor biometrische authenticatie, verwelkomd. Ook de harmonisatie van het begrip ‘wetenschappelijk onderzoek’ draagt bij aan meer rechtszekerheid.
'Verduidelijkingen nodig'
Voor wijzigingen die verdere aanpassing behoeven, zoals de verwerking van gevoelige gegevens in de context van AI-systemen, bevelen de EDPB en EDPS verduidelijkingen aan. Zo zou de reikwijdte van afwijkingen beter gedefinieerd moeten worden en moeten beschermingsmaatregelen gedurende de gehele levenscyclus van AI-systemen worden gewaarborgd. Ook de bepalingen over geautomatiseerde besluitvorming en transparantievereisten dienen te worden aangescherpt om rechtszekerheid te waarborgen, zonder afbreuk te doen aan de rechten van individuen.
De EDPB en EDPS steunen de vereenvoudiging van de Data Acquis door integratie van bestaande regelgeving in de Data Act. Zij benadrukken het belang van betrouwbare gegevensdeling en bevelen aan om specifieke waarborgen te handhaven, met name bij noodsituaties en datatussenpersoonsdiensten. Ook wordt aangedrongen op betere afstemming tussen toezichthouders en verduidelijking van de rol van het Europees Data Innovatiebord (EDIB) bij de ontwikkeling van richtlijnen.
Meer over privacy
Over Wouter Hoeffnagel
