De Europese Commissie heeft op 19 november 2025 een voorstel voor twee verordeningen gepubliceerd: de ‘Digital Omnibus’ en de ‘Digital Omnibus on AI’. Deze hebben tot doel om in één keer onderdelen van meerdere wetten die relevant zijn rondom digitalisering (waaronder de AVG en AI-Act) aan te passen, om versnippering en overlap van regelgeving zo veel mogelijk te voorkomen en belemmeringen voor innovatie weg te nemen. Deze voorstellen zijn ook van betekenis voor de zorgsector. In deze eerste bijdrage beschrijven wij de voorgestelde wijzigingen met betrekking tot de concepten persoonsgegevens en bijzondere categorieën van persoonsgegevens onder de AVG, en wat dit betekent voor de zorgsector. In een tweede bijdrage zullen wij inzoomen op de impact van de voorgestelde wijzigingen op het uitvoeren van wetenschappelijk onderzoek en het ontwikkelen van AI-tools in de zorg.
De Digital Omnibus ziet op het stroomlijnen van de regels uit de Algemene Verordening Gegevensbescherming (AVG), de e-Privacyrichtlijn, de Data Act en aanpalende cybersecuritywetgeving zoals de NIS2-richtlijn.1,2 Naast de Digital Omnibus is ook de ‘Digital Omnibus on AI’ als voorstel voor een verordening tot wijziging van de AI-Act gepubliceerd.3 De Digital Omnibus on AI ziet op de simplificatie van de implementatie en harmonisatie van regels rondom AI. In deze bijdrage zal ingegaan worden op enkele beoogde wijzigingen in de AVG en de AI-Act, die relevant zijn voor de zorgsector. Daarbij is het van belang op te merken dat de Digital Omnibus en de Digital Omnibus on AI op dit moment nog slechts de status van een voorstel voor een verordening hebben. Het is dus mogelijk dat de teksten nog aangepast worden voordat deze worden omgezet naar verordeningen.
Huidige definitie persoonsgegevens
De belangrijkste beoogde wijziging van de Digital Omnibus in relatie tot de AVG is de versmalling van het begrip persoonsgegevens onder de AVG, en in het verlengde daarvan de beperking van het toepassingsbereik van de AVG. Onder het huidige recht zijn persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.4 Ook als een bedrijf of organisatie een persoon niet direct kan identificeren, maar dit technisch wel mogelijk is door middel van een combinatie met andere gegevens, is er sprake van een identificeerbare persoon en zijn de regels van de AVG op deze verwerking van persoonsgegevens van toepassing.
Onder de huidige tekst van de AVG wordt een toetsingskader gehanteerd voor het bepalen of de persoon identificeerbaar is, namelijk dat rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren.5
Om te bepalen of de middelen redelijkerwijs te verwachten zijn, wordt gekeken naar alle objectieve factoren, zoals de kosten en de tijd die nodig zijn, met inachtneming van de beschikbare technologie. Als het in de praktijk bijvoorbeeld onmogelijk is om de persoon te identificeren, het risico onbeduidend is of juridisch niet is toegestaan, dan is een persoon niet identificeerbaar.6 Bovendien is het geen vereiste dat alle informatie bij dezelfde persoon berust: het is voldoende dat iemand anders de informatie heeft die nodig is om de persoon te identificeren, en dat die op een rechtmatige manier kan worden verkregen.7
Aanpassingen definitie
De aanpassingen aan de definitie van het begrip persoonsgegevens door de Digital Omnibus introduceren de zogenaamde relatieve benadering, door in art. 4 lid 1 AVG toe te voegen dat informatie geen persoonsgegeven is voor een entiteit als deze entiteit de persoon niet kan identificeren, rekening houdend met de middelen die redelijkerwijs door die entiteit kunnen worden gebruikt.8 Het vereiste om rekening te houden met wat een andere persoon, bijvoorbeeld een ontvanger van de gegevens, redelijkerwijs zou kunnen doen om de persoon te identificeren, wordt hiermee verwijderd.
Concreet betekent dit dat het daarmee in principe eenvoudiger zou zijn om in een onderzoek gebruik te maken van gepseudonimiseerde persoonsgegevens als de partij die het onderzoek uitvoert de patiënten niet kan identificeren. De regels van de AVG zouden op de verwerking van deze gepseudonimiseerde persoonsgegevens door de partij die de personen niet kan identificeren niet van toepassing zijn, omdat deze gegevens op grond van de Digital Omnibus voor die partij niet langer als persoonsgegevens worden gekwalificeerd. Wel roept dit vragen op rondom de bescherming van persoonsgegevens en de rechten van de betrokkenen wanneer de partij die gepseudonimiseerde gegevens verwerkt zich niet hoeft te houden aan de verplichtingen van de AVG.
Bijzondere persoonsgegevens
Het uitgangspunt van de AVG is dat de verwerking van bijzondere persoonsgegevens – zoals gezondheidsgegevens – in principe verboden is, tenzij een van de uitzonderingen van art. 9 lid 2 AVG van toepassing is. De Digital Omnibus beoogt aanvullende uitzonderingen op dit verbod op te nemen om de ontwikkeling en werking van AI niet onevenredig te belemmeren.9
Op grond van één van deze aanvullende uitzonderingen (sub k) mogen bijzondere persoonsgegevens onder bepaalde voorwaarden verwerkt worden voor de ontwikkeling en werking van een AI-systeem. Uitgangspunt daarbij is wel dat zo veel mogelijk voorkomen moet worden dat bijzondere persoonsgegevens worden verwerkt en als ze wel worden aangetroffen, dat deze bijzondere persoonsgegevens dan zo veel mogelijk worden verwijderd. Vergt het verwijderen van deze bijzondere persoonsgegevens een onevenredige inspanning, dan moet de verwerkingsverantwoordelijke in ieder geval voorkomen dat deze gegevens voor resultaten worden gebruikt of openbaar worden c.q. beschikbaar worden gesteld aan derden.10 Van zo’n onevenredige inspanning is bijvoorbeeld sprake wanneer dit het herontwerpen (re-engineering) van het AI-systeem vereist.11
Hiermee hangt het nieuwe artikel 4 bis van de AI-verordening samen, welk artikel is voorgesteld in de Digital Omnibus on AI om het huidige art. 10 lid 5 te vervangen.12 Art. 4 bis lid 1 AI-verordening (nieuw) is qua strekking vergelijkbaar met het huidige art. 10 lid 5 AI-verordening. Dit artikel staat het verwerken van bijzondere persoonsgegevens toe voor de detectie en correctie van vooroordelen (biases) met betrekking tot hoogrisico AI-systemen wanneer dat noodzakelijk is. Onder hoogrisico AI-systemen vallen onder andere AI-systemen die als medisch hulpmiddel in de zin van de Medical Device Regulation (MDR) kunnen worden gekwalificeerd.13 Hiervoor kan gebruik worden gemaakt van de uitzondering voor het verwerken van bijzondere persoonsgegevens onder art. 9 lid 2 sub g AVG, wat bepaalt dat bijzondere persoonsgegevens mogen worden verwerkt om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht.14 Art. 4 bis AI-verordening (nieuw) vormt daarmee in de Digital Omnibus on AI de Unierechtelijke grondslag die nodig is om een beroep te kunnen doen op de uitzondering op het verbod van verwerking van bijzondere persoonsgegevens bij de detectie en correctie van vooroordelen met betrekking tot hoogrisico AI-systemen.
Vooroordelen detecteren en corrigeren
Overigens maakt het nieuwe artikel 4 bis lid 2 van de AI-verordening het ook mogelijk om bijzondere persoonsgegevens te verwerken om biases te detecteren en corrigeren met betrekking tot AI-systemen die geen hoog risico vormen, wanneer dat noodzakelijk en proportioneel is. Dit laatste geldt voor zowel aanbieders als gebruikers van AI-systemen. Dus ook wanneer zorgorganisaties als gebruikers van AI-systemen vooroordelen willen detecteren en corrigeren in AI-systemen die worden gebruikt, die bijvoorbeeld geen medisch hulpmiddel zijn en daarmee niet onder de hoogrisico categorie van de AI-verordening vallen, dan staat art. 4 bis AI-verordening (nieuw) dat toe.15
Voor de zorgsector betekent dit nu al dat bijzondere persoonsgegevens verwerkt mogen worden om vooroordelen in bijvoorbeeld diagnostische AI-systemen te detecteren en te corrigeren, maar dat – zouden de Digital Omnibus en de Digital Omnibus on AI daadwerkelijk als verordeningen in werking treden in de huidige vorm – de wettelijke grondslag hiervoor wordt gevormd door art. 4 bis AI-verordening (nieuw) in plaats van art. 10 lid 5 AI-verordening. Bovendien wordt deze uitzondering op het verbod op de verwerking van bijzondere persoonsgegevens uitgebreid naar alle AI-systemen (en dus niet alleen de hoogrisico AI-systemen), en geldt de uitzondering voor zowel aanbieders als gebruikers van AI-systemen.16
Wordt vervolgd
De voorgestelde wijzigingen in de begrippen (bijzondere categorieën van) persoonsgegevens, staan niet op zichzelf. In de Digital Omnibus en de Digital Omnibus on AI zijn ook wijzigingen voorgesteld om het gebruik van deze gegevens voor wetenschappelijk onderzoek en het trainen van AI te versoepelen. In een volgende bijdrage gaan we hier nader op in en sluiten we af met enkele relevante slagen om de arm.
Niet iedereen is namelijk positief over wat de impact van de voorgestelde wijzigingen zal zijn op fundamentele mensenrechten, en we verwachten veel debatten aan de onderhandelingstafel. In februari 2026 is een aankondiging verschenen dat de voorgestelde wijzigingen van het begrip persoonsgegevens niet worden overgenomen door de Raad.17 De focus wordt verlegd naar de nog te verschijnen richtlijnen van de European Data Protection Board over het pseudonimiseren van persoonsgegevens. Zodra hier nieuwe relevante ontwikkelingen zijn, zullen we jullie hierover via ICT&health op de hoogte houden.
