Jarenlang was Europa de regio die Big Tech het strengst durfde aan te pakken. In de VS rekenen ze vooral op innovatie en marktwerking, in China op staatscontrole en in Europa op groei met respect voor fundamentele rechten. GDPR, de Europese privacywetgeving, is daar het bekendste symbool van. De doorbraak van wat we inmiddels AI noemen, lijkt die zorgvuldig opgebouwde privacybescherming echter onder druk te zetten.
Alles heeft te maken met administratieve vereenvoudiging die de Europese Commissie voorstelt: minder papierwerk, minder overbodige rapportering, minder irritante cookiebanners en méér ademruimte voor Europese AI-bedrijven, of dat is toch de bedoeling. De Commissie presenteerde haar vereenvoudigingspakket eind 2025 al en hoewel de AI Act, die de spelregels voor AI in Europa vastlegt, al sinds de zomer van 2024 van kracht is, worden veel verplichtingen gefaseerd ingevoerd. Door nieuwe politieke afspraken zouden regels voor bepaalde AI-systemen met een hoog risico, zoals in bijvoorbeeld biometrie, onderwijs en kritieke infrastructuur, pas vanaf eind 2027 gelden.
Voor AI in gereguleerde producten, zoals speelgoed, schuift de deadline zelfs op naar de zomer van 2028. Volgens de Commissie is deze aanpak nodig om enerzijds regels te verfijnen en anderzijds bedrijven de tijd te geven om aan die regels te voldoen. Zeker voor kleinere bedrijven zou dat belangrijk zijn. Voor hen is Europese regelgeving vaak een hindernissenparcours waarvoor ze simpelweg onvoldoende middelen hebben om het te doorstaan. Een start-up die vandaag iets rond AI bouwt, moet niet alleen nadenken over het product zelf, maar ook over dataverwerking, risicobepalingen, cybersecurity, aansprakelijkheid, toezicht en meer. Al die regeltjes zijn er in principe om Europese burgers te beschermen, maar in de praktijk zorgen ze er ook vaak voor dat kleinere Europese spelers afhaken. In de VS en China hebben ze minder last van al die regeltjes, of ze hebben voldoende middelen om zich aan te passen.
Wat bij Europa een gevoelige snaar raakt, is natuurlijk de enorme hoeveelheden data die nodig zijn om AI te trainen. Daar zitten vaak ook persoonsgegevens bij, soms rechtstreeks en soms verborgen in teksten, beelden of gedragspatronen. Dit botst vaak met de huidige GDPR en daarom heeft de Europese Commissie aanpassingen voorgesteld zodat duidelijk wordt voor AI-bedrijven wanneer ze persoonsgegevens mogen gebruiken. Ook het onderscheid tussen anonieme, gepseudonimiseerde en persoonlijke data wordt belangrijker zodat AI-bedrijven duidelijk opties krijgen om met bepaalde data aan de slag te gaan. Daar wringt echter het schoentje. Voor een AI-bedrijf klinkt pseudonimiseren als een goede oplossing: echte namen worden vervangen door nummers en klaar. Privacyjuristen zien dat evenwel anders. Een dataset zonder echte namen kan immers nog steeds veel over iemand zeggen wanneer je die informatie gaat combineren met andere gegevens.
Wie elke ochtend rond hetzelfde uur vertrekt vanuit dezelfde straat, dezelfde route neemt en op dezelfde plaats stopt, is vaak niet zo anoniem als het lijkt. In een AI-context wordt dat risico nog groter omdat AI-modellen patronen leren herkennen die later moeilijk terug te draaien zijn, zelfs al zou je dat willen. Privacyorganisaties zien de voorstellen van de Europese Commissie dan ook niet gewoon als wat administratieve vereenvoudiging, maar als een gevaarlijke verschuiving die de machtsbalans tussen burger en platform opnieuw in het voordeel van grote technologiebedrijven duwt. Bestaande privacywetgeving, die nog relatief jong is en waar hard voor gestreden werd, zou zo gewoon weer opengebroken en tenietgedaan worden.
Een deel van de voorstellen zal bij de gewone internetgebruiker vermoedelijk nochtans op weinig weerstand stuiten. Met name de versoepeling van de irritante cookiebanners zou door velen op vreugde onthaald worden. De pop-ups met vage knoppen en technisch juridisch gebrabbel zouden minder frequent opduiken omdat bepaalde onschuldige cookies niet langer toestemming zouden vereisen en gebruikers zelf meer controle zouden krijgen via hun browserinstellingen. Ook zou een gegeven toestemming langer geldig blijven. En op zich is daar wel iets voor te zeggen. De huidige cookieregels hebben een privacyprobleem vaak veranderd in een interfaceprobleem. Veel mensen klikken uit frustratie dan ook gewoon op alles accepteren en dus zouden minder cookiebanners net privacyvriendelijker kunnen zijn, tenminste als standaardinstellingen echt in het voordeel van de gebruiker zijn.
Er bestaat echter een reëel risico dat de cookiebanner als bliksemafleider gebruikt wordt. Iedereen zou dan de aanpassingen verwelkomen, omdat iedereen minder irritante cookiebanners wil, maar daardoor zouden nieuwe kleine lettertjes over AI-training, hergebruik van data en uitstel voor hoogrisicosystemen genegeerd worden. Dat uitstel voor hoogrisicosystemen is vooral gevaarlijk omdat het een periode laat bestaan waarin de technologie zich zonder veel moeite verder kan verspreiden terwijl het volledige controlekader nog niet actief is. Het gaat daarbij niet gewoon om chatbots die een foutje kunnen maken in een pastarecept, maar om AI-systemen die bepalen wie een job krijgt, wie extra gecontroleerd wordt aan een grens, wie toegang krijgt tot bepaalde diensten of hoe medische ondersteuning georganiseerd wordt. Het gaat om systemen die een grote impact kunnen hebben op mensenlevens die op deze manier zonder veel controle voet aan de grond kunnen krijgen.
De Europese Commissie zelf houdt uiteraard vol dat de bescherming van fundamentele rechten overeind blijft. Onder de AI Act zijn bepaalde praktijken al sinds begin 2025 verboden en regels rond algemene AI-modellen en transparantie zouden niet zomaar verdwijnen. Tegelijk benadrukt men dat er iets moet veranderen. In de wereldwijde AI-race hinkt Europa nu eenmaal achterop tegenover de VS en China. Europa heeft weliswaar sterke onderzoekers, degelijke infrastructuur en enkele beloftevolle spelers, maar nauwelijks iets dat op dezelfde schaal mee kan doen. Er is dan ook zeker politieke druk om in te grijpen, waarbij je je de vraag kan stellen welke belangen echt gediend worden. De timing blijft natuurlijk ook opvallend. De GDPR is nog geen tien jaar oud en de AI Act is eigenlijk nog maar net goedgekeurd. Als Europa die digitale kroonjuwelen nu al begint te herschrijven nog voor de inkt droog is, geeft dat een vreemd signaal aan zowel burgers als bedrijven.
De strenge regels van vandaag kunnen morgen blijkbaar gewoon weer afgezwakt worden wanneer de economische druk groot genoeg wordt. Ironisch genoeg ondermijnt dat de rechtszekerheid die de Commissie net wil creëren. Zoals zo vaak echter ligt de juiste aanpak waarschijnlijk ergens in het midden. De digitale spelregels in Europa zijn nu eenmaal inderdaad soms nodeloos ingewikkeld en ook over de proportionaliteit kan het een en het ander gezegd worden. Zeker kleinere spelers verdrinken vaak onder de documentatieplicht die hen opgelegd wordt. En die cookiebanners, tja, die zijn een karikatuur geworden van waar echte toestemming om zou moeten draaien. Vereenvoudigen is ergens dus wel nodig, maar het is ook heel wat anders dan het verschuiven van waar de bescherming eigenlijk echt begint. Als AI-bedrijven makkelijker persoonsgegevens mogen gebruiken, als gepseudonimiseerde data sneller buiten de zwaarste controle vallen, als verplichtingen voor hoogrisicosystemen pas later van kracht worden, dan verandert er ook inhoudelijk wel degelijk iets. Het gaat dan niet alleen om administratieve vereenvoudiging, maar ook om meer ongecontroleerde speelruimte voor systemen die diep in ons dagelijkse leven kunnen binnendringen. De ambitie voor innovatie dreigt dan hand in hand te gaan met de capitulatie van privacybescherming en andere rechten die we hoog in het vaandel dragen.
Het is duidelijk dat Europa minder restrictief wil zijn zodat AI-bedrijven hier kunnen concurreren met die in de VS en China. De vraag is echter of dat geen verhaal is dat bij voorbaat gedoemd is om te mislukken en of het dan wel de moeite is om op in te zetten. Bovendien heeft Europa een deel van zijn eigen concurrentiepositie net gebouwd op vertrouwen. Ja, de GDPR is lastig en soms log, maar ze geeft burgers een duidelijk uitgangspunt: hun data is niet zomaar een gratis grondstof waar bedrijven mee mogen doen wat ze willen. De AI Act moest daar nog een laag aan toevoegen: automatisering mag, maar niet zonder verantwoordelijkheid. Als Europa dat principe te ver laat varen, verliest het misschien wel het enige onderscheidende verhaal dat het nog heeft tegenover Silicon Valley en Shenzhen.
Hoe dan ook zal de impact voor gewone gebruikers niet van de ene op de andere dag zichtbaar zijn. Het is niet dat je kan zeggen dat de privacy van burgers plots met vijf procent verlaagd is. Het verloopt allemaal subtieler: een AI-model dat met meer Europese data aan de slag mag gaan, een hoogrisicosysteem dat langer onder een soepel overgangsregime valt, een browser die weliswaar minder pop-ups toont maar tegelijk meer keuzes verschuift naar instellingen die niemand ooit opent. Op die manier verdwijnt privacy niet plots, maar slijt ze geleidelijk aan weg.
Het is een debat dat uiteindelijk meer aandacht verdient dan een zoveelste klacht over cookiebanners. De vraag is niet of Europa bedrijven mag helpen, want dat moet het zeker en vast doen, maar of het dat kan zonder zijn eigen basisbelofte te breken. Een digitale economie heeft uiteraard zuurstof nodig, maar ook grenzen. En als die grenzen pas worden getrokken nadat de systemen overal al ingebakken zitten, dan komt de bescherming te laat. Niet dat de Europese weg dan helemaal verdwenen is, maar ze zal wel uitgehold zijn. Dat is dan ook het gevaarlijkste scenario, dat we pas merken wat we hebben opgegeven wanneer het al te laat is. De vraag is dan ook wat de prijs is van digitaal vertrouwen en of we bereid zijn om die te betalen.
