De Europese Commissie heeft eind 2025 het zogenoemde Digital Omnibus-pakket voorgesteld. Met dit voorstel beoogt de Europese Commissie bestaande digitale wetgeving te vereenvoudigen en innovatie te stimuleren, zodat organisaties met minder administratieve lasten worden geconfronteerd. De Digital Omnibus introduceert geen volledig nieuwe wet, maar bevat voorstellen tot wijziging, samenvoeging en intrekking van bestaande regels.
Met dit voorstel wordt een eerste stap gezet in het verminderen van overlappende verplichtingen en het wegnemen van onduidelijkheid. Het vormt een reactie op de grote hoeveelheid digitale regelgeving die in de afgelopen jaren onder andere in het kader van de Digital Decade is ingevoerd. Belangrijk om te benadrukken is dat het Digital Omnibus een voorstel betreft. De inhoud kan tijdens het wetgevingsproces nog wijzigen en is afhankelijk van de besluitvorming in het Europees Parlement en de Raad van de Europese Unie.
Totdat de wijzigingen definitief zijn aangenomen, blijft de huidige wetgeving onverkort van kracht. Voor organisaties is het daarom vooral van belang om deze ontwikkelingen te volgen en tijdig te beoordelen wat mogelijke aanpassingen betekenen voor hun bestaande compliance-structuur. De Digital Omnibus kan leiden tot vereenvoudiging, maar zal ook nieuwe juridische vragen oproepen.
Hieronder volgt een uiteenzetting van de relevante wettelijke wijzigingen die de Digital Omnibus mogelijk met zich meebrengt en die met name van belang zijn voor organisaties en professionals die actief zijn in de marketing-, media- en technologiesector.
Algemene verordening gegevensbescherming
Ook de Algemene verordening gegevensbescherming (AVG) moet volgens de Europese Commissie eenvoudiger en beter hanteerbaar worden.
Persoonsgegevens
Een belangrijk onderdeel van deze mogelijke vereenvoudiging betreft de uitleg van het begrip persoonsgegevens. Tot nu toe werden gegevens als persoonsgegevens beschouwd zodra iemand direct of indirect identificeerbaar was, ook als die identificatie alleen mogelijk was via gegevens waarover andere partijen beschikten. In het voorstel kiest de Europese Commissie voor een beperktere en duidelijkere afbakening van het begrip persoonsgegevens. Doorslaggevend is of de organisatie die de gegevens verwerkt zelf een persoon redelijkerwijs kan identificeren. Dat een andere partij dat mogelijk wel kan, is niet langer bepalend als deze wijziging doorgevoerd zou worden. Verder komen er twee uitzonderingsgronden bij op basis waarvan bijzondere persoonsgegevens verwerkt mogen worden.
Rechten van betrokkenen en informatieplicht
Met de aanpassing van de AVG wordt verduidelijkt wanneer een verwerkingsverantwoordelijke een verzoek van een betrokkene mag weigeren of hiervoor een redelijke vergoeding mag vragen. Hoewel deze mogelijkheid al bestaat, wordt expliciet gemaakt dat dit ook geldt bij kennelijk misbruik van rechten, bijvoorbeeld bij herhaalde of strategische inzageverzoeken. Denk daarbij aan verzoeken die niet zijn gericht op de bescherming van persoonsgegevens, maar worden ingezet om druk uit te oefenen bij de organisatie, compensatie voor schade te ontvangen of een ander voordeel te behalen. Met deze aanpassing krijgen organisaties mogelijk meer rechtszekerheid, mits zij dit kunnen onderbouwen.
Daarnaast wordt de informatieplicht uit artikel 13 AVG versoepeld. Wanneer persoonsgegevens rechtstreeks bij de betrokkene worden verzameld, hoeft niet in alle gevallen opnieuw alle informatie te worden verstrekt. Ook kan een verwerkingsverantwoordelijke bij verwerkingen voor wetenschappelijk onderzoek afzien van het informeren van betrokkenen, indien dit onmogelijk blijkt of een onevenredige inspanning zou vergen.
Automatische besluitvorming
Het voorstel verduidelijkt dat sprake is van geautomatiseerde besluitvorming wanneer een besluit tot stand komt zonder betekenisvolle menselijke tussenkomst. Wanneer een medewerker slechts meekijkt of monitort en geen daadwerkelijke invloed heeft op de uitkomst, blijft sprake van geautomatiseerde besluitvorming. Daarnaast wordt verduidelijkt dat geautomatiseerde besluitvorming ook is toegestaan wanneer het besluit in theorie handmatig had kunnen worden genomen, mits wordt gekozen voor de minst ingrijpende optie voor de betrokkene.
Datalekken
De meldtermijn voor datalekken wordt verruimd naar 96 uur (nu 72 uur) na ontdekking. Daarnaast geldt de meldplicht voortaan alleen voor datalekken die waarschijnlijk een hoog risico opleveren voor de rechten en vrijheden van betrokkenen. Daarmee wordt de drempel voor melding aan de toezichthouder verhoogd en in lijn gebracht met de meldplicht richting betrokkenen. Op dit moment geldt namelijk dat een datalek bij een risico voor de rechten en vrijheden van betrokkenen moet worden gemeld aan de Autoriteit Persoonsgegevens, terwijl betrokkenen pas geïnformeerd hoeven te worden bij een hoog risico.
Cookies
Met de voorgestelde toevoegingen wordt duidelijker vastgelegd wanneer organisaties persoonsgegevens mogen opslaan op apparaten van gebruikers, zoals laptops, smartphones en tablets. Denk hierbij aan cookies en vergelijkbare technieken.
De hoofdregel blijft hetzelfde: het opslaan van gegevens of het uitlezen van gegevens op het apparaat van een gebruiker mag alleen met toestemming. Voor toestemming gelden wederom de eisen uit de AVG.
Er komen mogelijk twee uitzonderingen bij op basis waarvan toestemming niet nodig is:
het creëren van geaggregeerde informatie over het gebruik van een onlinedienst om het publieksbereik van die dienst te meten, mits voor eigen gebruik;
het beveiligen of herstellen van de veiligheid van een dienst die de gebruiker afneemt, of van het apparaat dat voor die dienst wordt gebruikt.
Daarnaast gelden in het geval van toestemming de volgende cumulatieve voorwaarden:
toestemming moet op een eenvoudige en begrijpelijke manier geweigerd kunnen worden met één klik of een gelijkwaardig middel;
als er toestemming is gegeven, mag de verwerkingsverantwoordelijke (organisatie die het doel en de middelen bepaalt) niet opnieuw toestemming vragen voor de duur waarin hij rechtmatig op de toestemming mag rekenen;
als toestemming wordt geweigerd, mag er gedurende zes maanden niet opnieuw toestemming worden gevraagd voor hetzelfde doel.
Artificial Intelligence
Ook de AI Act wordt geraakt door het Digital Omnibus-voorstel. De regels voor hoogrisico-AI treden niet langer automatisch in werking op een vast moment. In plaats daarvan bepaalt de Europese Commissie wanneer de markt voldoende is voorbereid om aan de compliance-eisen te voldoen. Blijft een besluit uit, dan treden de regels alsnog automatisch in werking in 2027 en 2028. De inhoudelijke verplichtingen voor hoogrisico-AI blijven grotendeels gelijk.
AI-geletterdheid
De algemene verplichting voor organisaties om hun personeel te scholen in AI-gebruik wordt geschrapt. In plaats daarvan krijgen de Europese Commissie en lidstaten een inspanningsplicht om AI-geletterdheid te bevorderen. Organisaties zijn hierdoor niet langer verplicht om voor alle AI-systemen structureel trainingen te organiseren.
Overige relevante wijzigingen
Daarnaast wordt het eenvoudiger om:
bijzondere persoonsgegevens te gebruiken om bias en discriminatie in AI-systemen op te sporen;
AI-conformiteitsbeoordelingen te combineren met andere verplichte productbeoordelingen;
AI-systemen te testen in (grensoverschrijdende) regulatory sandboxes.
Overige aanpassingen
De Europese Commissie wil verder beter afstemmen hoe organisaties incidenten moeten melden onder verschillende wetten, zoals de NIS2, DORA en de CER. In plaats van meerdere meldprocedures dient er een uniforme aanpak te komen.
De Data Act is pas vanaf 2025 van toepassing, maar wordt door het voorstel van de Europese Commissie mogelijk nu al op verschillende onderdelen aangescherpt door bepalingen uit andere bestaande wetgeving op te nemen in de Data Act. Hiermee ontstaan twee centrale wetten met betrekking tot (persoons)gegevens: de Data Act en de AVG.
