Digital Omnibus: versoepeling of ondermijning van de AVG?

    - - / 18 December 2025

    Afgelopen 19 november presenteerde de Europese Commissie (hierna: ‘Commissie’) haar voorstel de ‘Digital Omnibus package’. In dit pakket worden voorstellen gedaan om verschillende richtlijnen en verordeningen in het digitale domein te versoepelen of samen te voegen, waaronder de Algemene verordening gegevensbescherming (hierna: ‘AVG’), de ePrivacyrichtlijn, de Data Act en de AI Act. Volgens de Commissie is het doel van deze wijzigingen om ervoor te zorgen dat de regelgeving innovatie en economische groei ondersteunt in plaats van belemmert.

    Er is al enige tijd kritiek vanuit de markt dat de regulering vanuit de Europese Unie als streng wordt ervaren en innovatie tegenwerkt. Dit is niet helemaal verrassend, omdat uit verschillende rapporten blijkt dat Europa inderdaad achterloopt als het gaat om innovatie. Aan de andere kant zijn er veel mensen het eens dat de bestaande regels juist nodig zijn, niet in de minste plaats om fundamentele rechten te beschermen. Bovendien is het niet zeker dat de huidige regelgeving de belangrijkste oorzaak is van de beperkte innovatiekracht in Europa. En áls regelgeving een knelpunt vormt, is de vraag of dat komt door de tijd en moeite in het uitvoeren van regulering, of door het begrip ervan. Critici vrezen dat het voorstel van de Commissie juist tot méér onduidelijkheid leidt, waardoor organisaties opnieuw tijd, middelen en geld moeten investeren om zich aan te passen.

    De Commissie benadrukt dat de voorgestelde aanpassingen bedoeld zijn om de regelgeving te stroomlijnen, terwijl het onderliggende doel (de bescherming van fundamentele rechten) onveranderd blijft.

    In dit blog bespreken we de voorgestelde aanpassingen die betrekking hebben op de AVG en wat dat voor jouw organisatie zou kunnen betekenen. Goed om in de gaten te houden: het complete Digital Omnibus-pakket bevat meer aanpassingen, zoals versoepeling van regels in de AI Act. Over de veranderingen aan de AI Act lees je hier meer.

    Voorgestelde aanpassingen

    De definitie ‘persoonsgegevens’ wordt aangepast

    Misschien wel het meest interessant is dat de Commissie de definitie van ‘persoonsgegevens’ wil aanpassen. Het centrale begrip waar de AVG om draait en waar veel over gediscussieerd wordt. Dit laatste wil de Commissie dan ook aanpakken door verwerkingsverantwoordelijken handvatten te geven om in specifieke gevallen te bepalen of gepseudonimiseerde gegevens nu wel, of geen persoonsgegevens zijn.

    In het voorstel wordt de definitie van persoonsgegevens aangevuld. De Commissie voegt de “relatieve leer” toe, dat betekent dat persoonsgegevens voor de één niet per se persoonsgegevens voor de ander hoeven te zijn. De definitie van persoonsgegevens hangt dus af van de partij die de persoonsgegevens verwerkt. De Commissie voegt specifiek toe dat het feit dat een mogelijke ontvanger gegevens zou kunnen identificeren, niet betekent dat het voor de verzender ook persoonsgegevens zijn. Het simpelweg bestaan van aanvullende informatie met behulp waarvan een betrokkene kan worden geïdentificeerd, betekent dus niet automatisch dat gepseudonimiseerde gegevens als persoonsgegevens moeten worden beschouwd.[1]

    Afgelopen jaar verduidelijkte het Europese Hof van Justitie (hierna: “Hof”) in GAR-zaak[2] de reikwijdte van het begrip persoonsgegevens in de context van het delen van gepseudonimiseerde persoonsgegevens aan derden. Met dit voorstel lijkt de Commissie deze uitleg van gepseudonimiseerde persoonsgegevens vast te willen leggen in de wet. Het is echter de vraag waarom de Commissie het nodig vindt om de wet hierop aan te passen. Jurisprudentie functioneert immers al als nadere invulling van de wet.

    Handvatten om gepseudonimiseerde gegevens te beoordelen

    Aanvullend op het bovenstaande stelt de Commissie voor om middelen en duidelijke criteria te ontwikkelen waarmee verwerkingsverantwoordelijken kunnen beoordelen of gepseudonimiseerde gegevens niet langer als persoonsgegevens moeten worden beschouwd en welk risico er bestaat op heridentificatie. Deze criteria kunnen vervolgens worden gebruikt om aan te tonen dat de gegevens niet tot individuele personen zijn te herleiden. De European Data Protection Board (EDPB) wordt nauw betrokken bij dit proces en zal een advies uitbrengen over het ontwerp van deze criteria.

    Nieuwe uitzonderingen verwerken bijzondere persoonsgegevens

    Naast het aanpassen van de definitie van ‘persoonsgegevens’ wordt ook de omgang met ‘bijzondere persoonsgegevens’ aangepast. In beginsel is het niet toegestaan om bijzondere persoonsgegevens te verwerken, behalve als een van de uitzonderingen van artikel 9 AVG opgaat. In het voorstel worden twee aanvullende uitzonderingen toegevoegd op grond waarvan organisaties bijzondere persoonsgegevens mogen verwerken. Het gaat om de volgende uitzonderingen:

    1. Men mag biometrische gegevens verwerken wanneer het noodzakelijk is om de identiteit van een betrokkene te verifiëren en de gegevens en middelen voor deze verificatie onder de uitsluitende controle van de betrokkene zijn. Denk hierbij aan biometrische verificatie op een telefoon op laptop. Let op: verifiëren gaat om het controleren dat de identiteit van de persoon wie de betrokkene aangeeft te zijn, klopt. Dat is iets anders dan identificeren.
    2. Het verwerken van bijzondere persoonsgegevens bij het ontwikkelen en functioneren van AI-systemen (zie AI Act) wordt toegestaan onder bepaalde voorwaarden. Zo moet de partij organisatorische en technische maatregelen nemen om het verzamelen van bijzondere persoonsgegevens te voorkomen. Als de verwerkingsverantwoordelijke toch per ongeluk bijzondere persoonsgegevens verwerkt, moet ze die verwijderen. Kost het verwijderen onredelijke moeite? Dan moet de verwerkingsverantwoordelijke zorgen dat die persoonsgegevens niet zomaar op straat komen te liggen of als output gegenereerd kunnen worden.

    Aanpakken misbruik rechten van betrokkenen

    Het voorstel biedt ruimte voor verwerkingsverantwoordelijken om een verzoek van een betrokkene af te wijzen als deze laatste duidelijk misbruik maakt van zijn of haar recht. Het voorstel bevat namelijk een aanpassing van het recht op inzage. Dient een betrokkene een duidelijk ongegrond of excessief verzoek in, of misbruikt zij haar privacyrechten duidelijk voor andere doeleinden dan gegevensbescherming? Dan kan de verwerkingsverantwoordelijke het verzoek afwijzen of een redelijke vergoeding rekenen. Het is dan aan de verwerkingsverantwoordelijke om het misbruik aan te tonen.

    Lichtere transparantie- en informatievereisten onder artikel 13

    Het voorstel versoepelt de informatieplicht uit artikel 13 op twee punten.

    Als een verwerkingsverantwoordelijke direct persoonsgegevens bij de betrokkene verzamelt, is het mogelijk niet noodzakelijk om dit in de privacyverklaring op te nemen. Dit is afhankelijk van de vraag of aangenomen kan worden dat de betrokkene al op de hoogte is van de verwerkingsverantwoordelijke zijn identiteit, het doel van de verwerking en hoe ze in contact kunnen komen om hun rechten uit te oefenen. Dit geldt alleen wanneer er een duidelijke en afgebakende relatie tussen betrokkene en de verwerkingsverantwoordelijke bestaat en er een niet-intensieve verwerking van persoonsgegevens plaatsvindt. Deze uitzondering is niet van toepassing als de gegevens worden doorgegeven aan andere ontvangers of categorieën van ontvangers, een derde land, of als er een geautomatiseerde besluitvorming plaatsvindt of als er een hoog risico voor de betrokkene bestaat.

    Daarnaast wordt er een uitzondering toegevoegd voor verwerkingen in het kader van wetenschappelijk onderzoek. Onder deze uitzondering hoeft de verwerkingsverantwoordelijke geen informatie te delen met de betrokkenen als het onmogelijk blijkt of een onevenredige inspanning vergt om hen te informeren. Wel blijft de verplichting bestaan voor de verwerkingsverantwoordelijke om de betrokkene zijn of haar rechten en vrijheden te beschermen. Daaronder valt het publiek beschikbaar maken van de informatie over de verwerking.

    Verduidelijking geautomatiseerde besluitvorming

    Op dit moment is het zo dat artikel 22 aangeeft dat een betrokkene het recht heeft om niet onderworpen te worden aan geautomatiseerde besluitvorming, zonder menselijke tussenkomst, als dat een rechtsgevolg of ander gevolg heeft dat hem of haar significant raakt. Daar zijn een aantal uitzonderingen op. Deze “negatieve” formulering (‘mag niet, behalve’) wordt in het voorstel omgedraaid naar een “positieve” formulering: het mag alleen als er aan bepaalde voorwaarden wordt voldaan. Verder introduceert het voorstel een verduidelijking van de eis van ‘noodzakelijkheid’ wanneer er geautomatiseerde besluitvorming plaatsvindt op grond van de uitvoering van een overeenkomst. In het aangepaste artikel wordt expliciet vermeld dat eveneens voldaan kan zijn aan ‘noodzakelijkheid’, als het besluit op een andere wijze had kunnen plaatsvinden dan uitsluitend geautomatiseerde middelen.

    Veranderingen melden datalekken

    Ook op het gebied van datalekken en het melden daarvan worden verschillende veranderingen voorgesteld. Allereerst wil de Commissie het melden van datalekken stroomlijnen door een single entry point te introduceren. Dit betekent dat er één autoriteit komt voor meldingen onder de verschillende regelgeving. Meldingen op grond van zowel de AVG, Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS2), de Electronic Identification, Authentication and Trust Services Verordening (eIDAS-verordening), de Digital Operational Resilience Act (DORA), en de Critical Entities Resilience Richtlijn (CER) moeten allemaal bij deze single entry point worden gedaan. Voor het melden zal de EDPB een template opstellen samen met een lijst met situaties waarin een hoog risico voor betrokkenen moet worden aangenomen.

    Daarnaast wordt de verplichting van een verwerkingsverantwoordelijke om een datalek te melden aan de toezichthouder in lijn gebracht met de verplichting om betrokkenen op de hoogte te stellen. Beide hoeven alleen gemeld te worden als er een hoog risico voor de rechten van betrokkenen bestaat door het datalek. De termijn voor het melden aan de autoriteit wordt uitgebreid tot 96 uur. De plicht en de grenswaarde voor verwerkers om datalekken te melden aan verwerkingsverantwoordelijke, zoals neergelegd in het huidige artikel 33 lid 2 AVG, blijft ongewijzigd.

    Vaste lijst voor DPIA’s

    Het voorstel bevat een regeling waarin de EDPB lijsten dient op te stellen met situaties waarin een Data Protection Impact Assessment (‘DPIA’) wel of niet gedaan moet worden, aangevuld met een vaste template en methodologie. Hiermee poogt de Commissie de juridische zekerheid te vergroten en een geharmoniseerde interpretatie te creëren van wanneer er sprake is van een hoog-risicoverwerking. Momenteel zijn er geen Europese richtlijnen wanneer een DPIA vereist is, maar zijn er wel verschillende nationale toezichthouders die lijsten hebben gepubliceerd.

    AI-modellen trainen op grond van gerechtvaardigd belang

    Met de introductie van een nieuw artikel wil de Commissie vastleggen dat de grondslag ‘gerechtvaardigd belang’ (artikel 6(1) f AVG) gebruikt kan worden om persoonsgegevens te gebruiken bij het trainen van AI-modellen. Dit komt overeen met de visie op het gebruik van persoonsgegevens voor het trainen van AI-modellen, onder andere volgend uit het ‘Advies 28/2024 over bepaalde aspecten van gegevensbescherming in verband met de verwerking van persoonsgegevens in het kader van AI-modellen' en de visie van de Autoriteit Persoonsgegevens in het geval van het trainen van AI-modellen.

    Hier zijn wel een aantal uitzonderingen op. Deze grondslag is niet van toepassing wanneer andere Unie of nationale wetten expliciet toestemming vereisen of wanneer de fundamentele rechten en belangen van betrokkenen zwaarder wegen dan het gerechtvaardigde belang van de verwerkingsverantwoordelijke. Deze laatste eis weegt nog zwaarder wanneer de betrokkene een kind is.

    Conclusie

    Het Digital Omnibus-pakket bevat een flink aantal wijzigingen die de praktijk ingrijpend kunnen wijzigen. Of deze versoepelingen het doel van de Commissie om innovatie te stimuleren zullen bereiken, of juist voor een ondermijning van de digitale rechten van betrokkenen zal zorgen, is nog de vraag.

    De bovenstaande speculatie daargelaten, dient te worden benadrukt dat het voorstel momenteel nog precies dat is: een voorstel. Het heeft nu dus nog geen directe invloed op de praktijk. Onder de standaardprocedure zullen deze veranderingen op zijn vroegst halverwege volgend jaar aangenomen kunnen worden. Maar voordat het zover is, moet er nog veel gebeuren en kan er nog van alles veranderen, zeker gezien de discussie die hierover woedt.

    Heb je vragen over het Digital Omnibus-pakket? Neem dan vooral contact met ons op. Wij helpen je graag.

    Contact opnemen

    [1] “Information relating to a natural person is not necessarily personal data for every other person or entity, merely because another entity can identify that natural person. Information shall not be personal for a given entity where that entity cannot identify the natural person to whom the information relates, taking into account the means reasonably likely to be used by that entity. Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates.’”

    [2] HvJ EU 26 april 2023, ECLI:EU:T:2023:219 (GAR/EDPS)
    Terug naar overzicht

    Susanna Nijsten

    Legal Counsel
    Lees meer
    data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram