Inleiding

Op 19 november 2025 heeft de Europese Commissie het Digitale Omnibus-pakket aangeboden, met daarin een set aan voorstellen met als doelstelling om bestaande digitale wetgeving te vereenvoudigen en om administratieve lasten voor organisaties te verminderen.[1] Daarmee beoogt het pakket veranderingen mee te brengen voor (onder andere) de AI Act, de e-Privacy Richtlijn, de Data (Governance) Act en de Algemene Verordening Gegevensbescherming (AVG). Hoewel het hoofddoel van de Omnibus is om digitale Europese wetgeving te harmoniseren en om de naleving daarvan voor organisaties in de praktijk te vereenvoudigen, is er ook kritiek op de mogelijke gevolgen hiervan voor privacy en fundamentele rechten.[2] Zo waarschuwt de Autoriteit Persoonsgegevens (AP) in een persbericht dat de komst van de Digitale Omnibus niet ten koste mag gaan van de fundamentele rechten en de bescherming van persoonsgegevens van betrokkenen.[3]

In dit artikel worden de gevolgen die de Digitale Omnibus teweegbrengt voor de AVG geanalyseerd, welke veranderingen dit met zich meebrengt voor de verwerking van persoonsgegevens, en welke kansen en aandachtspunten dit voor jouw organisatie oplevert. Het doel van dit artikel is om inzicht te geven in hoe jouw organisatie zich kan voorbereiden op de nieuwe regels en tegelijkertijd de privacy van betrokkenen kan waarborgen.

[1] Voorstel voor een digitale omnibusverordening | Shaping Europe’s digital future

[2] Zie bijvoorbeeld EU-wetswijzingen ‘digitale omnibus’ zorgelijk voor grondrechten | College voor de Rechten van de Mens

[3] AP over Europees voorstel om wetten te wijzigen: mag niet ten koste gaan van mensenrechten | Autoriteit Persoonsgegevens

Gevolgen voor de AVG

De Digitale Omnibus brengt een aantal belangrijke wijzigingen aan in de AVG.[1] Hierbij is een van de meest opvallende aanpassingen de (her)verduidelijking van het begrip persoonsgegevens. Zo kwalificeren gegevens die voor een organisatie niet redelijkerwijs te herleiden zijn tot een natuurlijke persoon, niet meer als persoonsgegevens onder de AVG. Dit vergemakkelijkt met name het gebruik van gepseudonimiseerde datasets. 

Daarnaast wordt het makkelijker om persoonsgegevens te gebruiken voor de training van AI-modellen. Met invoering van de Omnibus mogen persoonsgegevens op basis van het gerechtvaardigd belang worden verwerkt voor trainingsdoeleinden van AI-modellen en het doen van wetenschappelijk onderzoek, zonder dat daarbij toestemming van de betrokkene nodig is. Hierbij geldt voor residuele bijzondere persoonsgegevens als beperking dat deze slechts mogen worden verwerkt als de organisatie aantoonbaar alle mogelijke maatregelen heeft genomen om het gebruik van deze bijzondere persoonsgegevens te vermijden.

Bovendien vindt er een versoepeling plaats van de rechten van betrokkenen. Kleine organisaties hoeven voortaan minder informatie te verstrekken bij eenvoudige en niet-data-intensieve verwerkingen. Dit is vooral het geval wanneer de betrokkene waarschijnlijk al over de kerninformatie over de verwerking beschikt. Tevens wordt ook het inzagerecht enigszins beperkt, met een lagere drempel om inzage te weigeren of een vergoeding te vragen wanneer er sprake is van misbruik.

Verder brengt de Omnibus veranderingen voor de verplichting om een Data Protection Impact Assessment (DPIA) uit te voeren. De Europese Commissie beoogt één EU-brede lijst van verwerkingen vast te stellen waarvoor geen DPIA nodig is. Organisaties hoeven hierdoor minder vaak een DPIA ‘voor de zekerheid’ uit te voeren, wat bijdraagt aan meer uniformiteit en verlichting van de administratieve lasten.

Ten slotte wordt ook de meldplicht bij datalekken versoepeld. Alleen incidenten met een hoog risico voor betrokkenen moeten voortaan worden gemeld. Hierbij geldt dat de meldingstermijn van 72 uur wordt verschoven naar 96 uur, waarbij meldingen via één centraal Europees meldloket kunnen worden gedaan, waardoor een aparte melding bij de AP niet meer nodig is.

[1] De Digitale Omnibus: Gevolgen voor AVG, Data Act & AI Act.

Concluderend

De voorgestelde wijzigingen in het Digitale Omnibus-pakket hebben directe gevolgen voor hoe organisaties persoonsgegevens verwerken en beheren. Met de wijzigingen in de AVG worden nieuwe kansen en mogelijkheden geboden voor innovatie, zoals het gebruik van persoonsgegevens voor AI-trainingsdoeleinden en de verlichting van administratieve lasten. De AP benadrukt echter tegelijkertijd dat de bescherming van de privacy en fundamentele rechten van betrokkenen cruciaal blijft. Organisaties zijn daarom alsnog gehouden om zorgvuldig om te gaan met persoonsgegevens, om de kansen die de Omnibus biedt effectief te kunnen benutten, zonder dat de rechten van betrokkenen worden aangetast.

Wil je meer weten over wat de komst van de Digitale Omnibus voor jouw organisatie betekent, of heb je andere privacygerelateerde vragen? Neem dan vrijblijvend contact op met een van onze juristen of stuur een bericht naar hallo@privacy1.nl.

Geschreven door Emmy Zhang, Privacy & IT-jurist.

19 december 2025