De Europese Commissie (EC) werkt aan een herziening van de General Data Protection Regulation (GDPR), in Nederland bekend als de Algemene verordening gegevensbescherming (AVG). In 2024, zes jaar na de inwerkingtreding, is de wet geëvalueerd. De EC is voorstander van een vereenvoudiging van het wettelijke kader om daarmee de administratieve lasten voor het bedrijfsleven te verminderen.
Drie thema’s op de Europese agenda
“Er liggen nu drie thema’s op tafel”, zegt Axel Voss, sinds 2009 lid van het Europees Parlement (EP) vanuit de Duitse CDU, over de ontwikkelingen rond de AVG.
“Allereerst zijn er problemen met de grensoverschrijdende zaken. We moeten snel een oplossing vinden om de gegevensuitwisseling tussen de Europese Unie (EU) en andere landen – en tussen de Europese lidstaten onderling – te vereenvoudigen.
Daarnaast is er een betere afstemming nodig tussen verschillende wetten die te maken hebben met dataprotectie. De GDPR sluit bijvoorbeeld niet aan op de realiteit van nieuwe technologie, zoals Artificial Intelligence (AI).
Verder werkt de EC aan een zogenoemde Digital Omnibus Package, een set initiatieven om administratieve druk tegen te gaan en om regels te vereenvoudigen. “De GDPR is een van de onderdelen van de Digital Omnibus Package.”
Modernisering van de AVG
Voss is keynote spreker tijdens het Dataprotectie & Privacy Congres 2025, waar hij zijn visie deelt op de modernisering van de GDPR en de digitale soevereiniteit van de Europese Unie. Hij is een warm pleitbezorger van een stevige modernisering van de GDPR. “Wat mij betreft moeten we de structuur van de wet veranderen. Het uitgangspunt is dan niet meer dat de verwerking van persoonsgegevens is verboden tenzij er een wettelijke grondslag voor is. De basis zou zijn dat dataverwerkingen zijn toegestaan, mits daarbij de privacy van burgers niet wordt geschaad. Dat is een veel positiever perspectief op dataprotectie.”
De opmars van AI maakt een actualisatie van de Europese privacywet urgenter dan ooit, stelt Voss. “Een aantal basisprincipes van de GDPR is simpelweg niet verenigbaar met technologische vernieuwingen zoals AI. De hoofdregel van doelbinding, dat wil zeggen dat persoonsgegevens die zijn verzameld voor een specifiek doel niet mogen worden verwerkt voor een andere doelstelling, is niet langer houdbaar in het licht van de ontwikkeling van AI-modellen. Met de verplichting om persoonsgegevens te verwijderen, gooien we waardevolle resources weg. Ook dataminimalisatie staat haaks op alles wat we nodig hebben om het potentieel van AI te benutten. Om het meer radicaal te zeggen: we moeten niet uitgaan van dataprotectie, maar van privacybescherming. Het is onzinnig om voor elke soort data te bepalen of het persoonsgegevens betreft of niet, voordat je er iets mee kunt doen.”
Privacy en concurrentievermogen
Voss verwacht niet dat er voor al zijn voorstellen voor de vernieuwing van de GDPR een meerderheid is te vinden in het EP. “Er zou wel draagvlak kunnen komen voor een eenduidige interpretatie en toepassing van de GDPR. Naar mijn idee is het een fundamentele vergissing geweest om de concretisering van de GDPR-normen over te laten aan de Europese lidstaten. Daardoor is er geen gelijk speelveld. In bijvoorbeeld Duitsland zijn er maar liefst achttien verschillende toezichthoudende instanties. Naast de federale toezichthouder zijn er zogenoemde Landesdatenschutzbehörden voor alle zestien deelstaten. In de Datenschutzkonferenz voeren deze autoriteiten onderling overleg over de eenduidige toepassing van de GDPR-richtlijnen. Maar er ontbreekt een eenduidige benadering van de verwerking van persoonsgegevens.”
Voss verwacht ook dat er op Europees niveau enthousiasme ontstaat voor een nieuw perspectief op het gebruik en de bescherming van data. “We zijn ons steeds meer bewust van de noodzaak om een betere balans te vinden tussen de privacy van burgers en het concurrentievermogen van het bedrijfsleven. We lopen hopeloos achter op de technologiebedrijven en investeringsmaatschappijen in China en de Verenigde Staten. Onze privacywetten zijn daarvoor niet de enige reden, maar wel een belangrijke factor.”
Dataprotectie versus digitale soevereiniteit
Volgens Voss is de modernisering van de GDPR nauw verbonden met de digitale soevereiniteit van de EU. “Digitale soevereiniteit betekent dat we in staat zijn om onze eigen businessmodellen te ontwikkelen en om de toegang tot kwalitatief hoogwaardige data te waarborgen. Zodat we daarvoor niet afhankelijk zijn van anderen, zoals de big tech uit de Verenigde Staten en Azië.”
“We moeten serieus nadenken over de regulering van processen om persoonsgegevens te anonimiseren en te pseudonimiseren. We willen gegevens immers gebruiken voor datamodellen”, voegt Voss toe. “Het vrije verkeer van data is een grondbeginsel van de GDPR. Maar in de praktijk werkt dat niet goed. Dat heeft allereerst te maken met de werkwijzen van de verschillende privacytoezichthouders. Daarnaast is er vaak een focus op toestemming van betrokkenen, en is er onvoldoende aandacht voor de andere grondslagen voor de verwerking van persoonsgegevens.”
Een servicegerichte mindset
EuroStack geeft privacy professionals een positief perspectief, aldus Voss. “Het gaat om een initiatief om de technologie, governance en funding samen te brengen waarmee de EU zelf digitale infrastructuren ontwikkelt. Bijvoorbeeld voor clouddiensten, quantumcomputers en AI-modellen. Daarmee creëren we de technische basis voor oplossingen die aansluiten bij de Europese waarden.”
Wat kunnen privacy professionals nú doen om zich voor te bereiden op alle uitdagingen en kansen van de nabije toekomst? Voss: “Met een servicegerichte mindset maak je het verschil voor je organisatie. Dat wil zeggen: houd goed zicht op de balans tussen privacy en andere belangen, zoals het gebruik van data voor innovatie. Denk bijvoorbeeld actief mee over manieren om data inzetbaar te maken voor succesvolle businessmodellen. Voorkom ook dat de producten en diensten van techbedrijven zorgen voor lock-ins, waardoor het straks moeilijk wordt om veranderingen door te voeren.”
“Uiteindelijk draait het om een digitale overlevingsstrategie”, benadrukt Voss. “De procedures voor wet- en regelgeving in de EU zijn traag. Als we niet op korte termijn concrete stappen zetten naar een Europees digitaal ecosysteem dan zijn we echt te laat. Dan zijn we compleet afhankelijk van big tech. We denken misschien dat we genoeg tijd hebben om de strijd aan te gaan. Maar we staan al op het punt om onze concurrentiepositie volledig te verliezen.”
Wilt u ook het verschil maken voor een effectieve inzet van technologie, waaronder AI – met oog voor privacy en AVG-compliance? Bezoek op 2 en 3 oktober het Dataprotectie & Privacy Actualiteitencongres in Utrecht.
