Joris DeeneDe Europese Commissie en de European Data Protection Board (EDPB) hebben op 9 oktober 2025 gezamenlijke ontwerprichtlijnen gepubliceerd over de wisselwerking tussen de Digitalemarktenverordening (DMA) en de Algemene Verordening Gegevensbescherming (AVG). Op het eerste gezicht lijkt dit een technische discussie voor ‘gatekeepers’ zoals Google en Meta. Een grondige analyse toont echter een ander beeld: deze ontwerprichtlijnen bevatten interpretaties die de toepassing van de AVG voor álle ondernemingen in de EU dreigen te veranderen. De impact reikt veel verder dan de muren van Big Tech en kan de fundamenten van uw dataverwerking en online dienstverlening raken.
Van gatekeepers tot KMO’s: een gedeeld juridisch speelveld
De DMA heeft als doel de macht van de grootste digitale platformen te beperken en te zorgen voor eerlijkere en meer open digitale markten. De AVG, daarentegen, beschermt de persoonsgegevens van alle Europese burgers en is van toepassing op nagenoeg elke onderneming. De nieuwe richtlijnen moeten duidelijkheid scheppen over hoe deze twee belangrijke regelgevingen naast elkaar bestaan.
Het gevaar schuilt echter in de details. Onder het mom van het reguleren van gatekeepers, introduceert de EDPB interpretaties van de AVG die een precedent kunnen scheppen. Als deze richtlijnen in hun huidige vorm worden aangenomen, kunnen ze leiden tot een strengere en meer beperkende lezing van de AVG voor iedereen.
Artikel 5(2) DMA – De herdefiniëring van toestemming
Dit artikel is wellicht het meest ingrijpende en verbiedt gatekeepers om persoonsgegevens te combineren, te kruisen tussen verschillende diensten, of te gebruiken voor gerichte advertenties zonder geldige toestemming van de eindgebruiker. Om deze verwerkingen toch te mogen uitvoeren, moeten gatekeepers aan twee cumulatieve voorwaarden voldoen: ze moeten een specifieke keuze bieden (inclusief een ‘gelijkwaardig alternatief’) en de gebruiker moet hiervoor expliciete, geldige AVG-toestemming geven. Hier schuilen meerdere gevaren.
De ‘gelijkwaardige maar niet identieke’ dienst: een onmogelijke spagaat
De ontwerprichtlijnen stellen dat het alternatief voor gebruikers die geen toestemming geven “minder gepersonaliseerd maar gelijkwaardig” moet zijn. Vervolgens wordt dit concept aangescherpt: de alternatieve dienst mag niet van “gedegradeerde kwaliteit” zijn en mag niet verschillen in “prestaties, ervaring en toegangsvoorwaarden”.
Dit is een fundamenteel tegenstrijdige eis. Een dienst zonder personalisatie (bv. een nieuwsfeed die niet is afgestemd op leesgedrag) biedt per definitie een andere ervaring. De stelling dat de ervaring niet mag verschillen, is onlogisch en creëert een onwerkbare, subjectieve norm. Het opent de deur voor eindeloze discussies over wat een ‘gelijkwaardige ervaring’ precies inhoudt, wat leidt tot immense rechtsonzekerheid voor iedereen die alternatieve (bv. betaalde, advertentievrije) versies van een dienst wil aanbieden.
Praktische impact: Deze logica kan doorsijpelen naar de discussie over ‘cookie walls’ en ‘pay or okay’-modellen voor alle websites. Als een niet-gepersonaliseerde of betaalde versie als ‘niet-gelijkwaardig’ wordt beschouwd omdat de ‘ervaring’ anders is, ondermijnt dit legitieme businessmodellen die afhankelijk zijn van reclame-inkomsten.
De subjectieve lat voor gebruikersinterfaces
De ontwerprichtlijnen stellen terecht dat interfaces niet misleidend mogen zijn. Evenwel gaan de ontwerprichtlijnen veel verder. Ze stellen dat designkeuzes die “gebruikers kunnen misleiden of nudgen tot het geven van onbedoelde en dus ongeldige toestemming” verboden zijn. De tekst voegt eraan toe dat een interface er niet toe mag leiden dat gebruikers “niet nadenken over alle of sommige implicaties van het geven van hun toestemming”.
Deze formulering is problematisch. De begrippen ‘nudging’, ‘onbedoeld’ en ‘niet nadenken’ zijn extreem subjectief. Wat de ene gebruiker als een handige suggestie ziet (nudging), kan een ander als manipulatie ervaren. Het legt bovendien een onrealistische bewijslast bij de ontwerper. Hoe kan een onderneming aantonen dat een gebruiker heeft “nagedacht”? Wat als een gebruiker bewust kiest voor een snelle, gestandaardiseerde interface? Eisen dat een design gebruikers dwingt om over alle implicaties na te denken, is onrealistisch en kan elke gestandaardiseerde, gebruiksvriendelijke interface kwetsbaar maken voor juridische procedures.
Praktische impact: Dit creëert een klimaat van enorme rechtsonzekerheid voor webdesigners en ontwikkelaars. Elke poging om een toestemming-flow vlot en efficiënt te maken, kan worden aangevallen als ‘nudging’. De lat wordt zo hoog gelegd dat het bijna onmogelijk wordt om een interface te ontwerpen die zowel gebruiksvriendelijk is als juridisch onaantastbaar.
De hiërarchie van rechtsgronden: een sluipend gevaar
Misschien wel het meest fundamentele risico is de impliciete boodschap dat toestemming (artikel 6(1)(a) AVG) een ‘betere’ rechtsgrond is dan contractuele noodzaak (6(1)(b)) of gerechtvaardigd belang (6(1)(f)). De ontwerprichtlijnen stellen expliciet dat voor de verwerkingen onder artikel 5(2) DMA, gatekeepers zich niet kunnen beroepen op de uitvoering van een overeenkomst of hun gerechtvaardigd belang. De rechtvaardiging hiervoor is het “waarborgen van een hoog niveau van bescherming van persoonsgegevens”.
Dit creëert een gevaarlijk precedent. De AVG voorziet in artikel 6 zes mogelijke rechtsgronden voor de verwerking van persoonsgegevens, waaronder toestemming, contractuele noodzaak en het gerechtvaardigd belang. De AVG zelf voorziet geen hiërarchie; elke rechtsgrond is geldig als aan de voorwaarden is voldaan. Door te suggereren dat het uitsluiten van bepaalde rechtsgronden leidt tot ‘betere’ bescherming, wordt de waarde van het gerechtvaardigd belang – een cruciale en flexibele rechtsgrond voor innovatie, beveiliging en dienstverbetering – systematisch uitgehold.
Praktische impact: Als deze redenering door toezichthouders wordt overgenomen, kan het voor elke onderneming moeilijker worden om zich te beroepen op het gerechtvaardigd belang voor essentiële activiteiten zoals fraudepreventie, netwerkbeveiliging, of zelfs de verbetering van de eigen diensten. Dit zou leiden tot een inflatie van toestemmingsverzoeken, met ‘toestemmingsvermoeidheid’ bij gebruikers tot gevolg.
Artikel 6(4) DMA – App Stores en de verantwoordelijkheid van de verwerkingsverantwoordelijke
Dit artikel verplicht gatekeepers die een besturingssysteem aanbieden om de installatie en het gebruik van software en app stores van derden toe te staan (het zogenaamde ‘sideloading’). De gatekeeper mag wel “strikt noodzakelijke en evenredige” maatregelen nemen om de integriteit en veiligheid van de hardware en het besturingssysteem te waarborgen.
De ontwerprichtlijnen maken hier een cruciale juridische verduidelijking die voor alle platform-ecosystemen relevant is: de gatekeeper (als aanbieder van het besturingssysteem) en de ontwikkelaar van de third-party app worden in principe beschouwd als afzonderlijke en zelfstandige verwerkingsverantwoordelijken.
Dit betekent dat de gatekeeper niet mag dicteren hoe de app-ontwikkelaar aan zijn eigen AVG-verplichtingen voldoet. De gatekeeper kan technische tools aanbieden (bv. voor het vragen van toestemming), maar de ontwikkelaar blijft zelf verantwoordelijk en moet vrij zijn in de keuze van zijn compliance-strategie.
Praktische impact: Voor elke Belgische onderneming die actief is op een platform van een derde (of dit nu een app store, een e-commerce marketplace of een sociaal netwerk is), bevestigt dit een fundamenteel principe. Wees kritisch voor platformvoorwaarden die u proberen voor te schrijven hoe u met uw klantengegevens moet omgaan. U bent in principe een zelfstandige verwerkingsverantwoordelijke en draagt uw eigen verantwoordelijkheid.
Artikel 6(9) DMA – Dataportabiliteit 2.0 en de gevolgen
Artikel 6(9) creëert een versterkt recht op dataportabiliteit. Het gaat verder dan het gekende artikel 20 van de AVG. Gebruikers (en door hen gemachtigde derden) moeten “continue realtimetoegang” krijgen tot alle data die ze hebben verstrekt of die door hun activiteit werd gegenereerd. Dit recht is gratis en geldt ongeacht de oorspronkelijke rechtsgrond van de verwerking.
De ontwerprichtlijnen werken enkele complexe scenario’s uit:
- Data van derden: Wat als de dataset die een gebruiker wil meenemen, ook persoonsgegevens van andere personen bevat (bv. contactpersonen, foto’s met anderen)? De ontwerprichtlijnen bevestigen dat dit onder de reikwijdte valt. De gatekeeper moet de overdracht faciliteren, maar de ontvanger (de gebruiker of de gemachtigde derde) wordt zelf verwerkingsverantwoordelijke voor die data en moet de AVG naleven.
- Internationale doorgiftes: Als een gebruiker zijn data wil overdragen naar een dienst in een land buiten de EER zonder adequaat beschermingsniveau, moet de gatekeeper de expliciete en geïnformeerde toestemming van de gebruiker verkrijgen voor die specifieke risicovolle doorgifte, conform artikel 49 AVG.
Praktische impact: Voor ondernemingen die innovatieve diensten willen bouwen door data van verschillende platformen te combineren (met toestemming van de gebruiker), biedt dit artikel enorme kansen. Tegelijkertijd brengt het aanzienlijke verantwoordelijkheden met zich mee. Als u data ontvangt via dit mechanisme, wordt u volledig verantwoordelijk voor de correcte verwerking ervan, inclusief het informeren van alle betrokkenen wiens data u indirect verkrijgt.
Artikel 6(11) DMA – De hoge lat voor anonimisering van data
Om de concurrentie op de markt voor zoekmachines te bevorderen, verplicht dit artikel gatekeepers om concurrerende zoekmachines toegang te geven tot geanonimiseerde ranking-, query-, klik- en viewdata. De cruciale voorwaarde is dat alle persoonsgegevens “geanonimiseerd” moeten zijn.
De ontwerprichtlijnen duiken diep in de definitie van anonimiteit, met een verwijzing naar overweging 26 van de AVG. Data is pas anoniem als een persoon niet langer identificeerbaar is, rekening houdend met “alle middelen die redelijkerwijs kunnen worden ingezet” door eender wie om die persoon te identificeren. De uitdaging hier is de inherente spanning die de ontwerprichtlijnen zelf erkennen: de anonimisering moet effectief zijn, maar mag tegelijk de “kwaliteit of bruikbaarheid van de data niet substantieel aantasten”.
Praktische impact: Dit illustreert de extreem hoge drempel voor effectieve anonimisering onder de AVG. Voor elke onderneming die met geanonimiseerde of gepseudonimiseerde datasets werkt, is dit een waarschuwing. De technieken moeten robuust zijn en het risico op re-identificatie (bv. door de data te combineren met andere datasets) moet verwaarloosbaar klein zijn. Echte anonimisering is complex en vereist een grondige technische en juridische analyse.
Wat kunt u doen? De publieke consultatie is cruciaal
Deze ontwerprichtlijnen zijn geen wet, maar ze geven een duidelijke indicatie van de richting die de Europese regelgevers uit willen. De gevolgen voor niet-gatekeepers kunnen aanzienlijk zijn. Gelukkig is er een publieke consultatie geopend waar alle belanghebbenden hun feedback kunnen geven. Deze loopt tot 4 december 2025.
Het is van vitaal belang dat het bedrijfsleven, van kmo’s tot grotere spelers, van zich laat horen. De stem van de praktijk is essentieel om te voorkomen dat theoretische en onwerkbare principes de norm worden. Spreek uw sectorfederatie aan of overweeg zelf een bijdrage in te dienen.
Conclusie: een Trojaans paard voor de AVG
De gezamenlijke richtlijnen van de Commissie en de EDPB zijn meer dan een technisch document voor een handvol techgiganten. Ze dreigen een Trojaans paard te zijn dat een veel restrictievere interpretatie van de AVG in de hele Europese Unie binnenloodst. De voorgestelde principes rond rechtsgronden, gelijkwaardige diensten en interface-design creëren onzekerheid en kunnen de innovatie en het concurrentievermogen van Europese bedrijven schaden. Waakzaamheid en actieve deelname aan het publieke debat zijn nu cruciaal.
Dutch 
English