De Europese Commissie (“Commissie”) publiceerde op 21 mei 2025 haar vierde Omnibusvoorstel (alleen beschikbaar in het Engels – dit blog hanteert daarom Engelse termen). Eerder schreven wij een introducerende blog over de Omnibusvoorstellen. Dit keer gaat het onder meer om een vereenvoudiging van de AVG, als onderdeel van het bredere omnibuspakket voor midden- en kleine ondernemingen. Deze hervorming brengt vooral verlichting voor kleinere organisaties. Wat zijn de belangrijkste punten?
Let op: deze regeling is een voorstel dat nu voorligt bij de Raad van de Europese Unie voor de eerste lezing. De regels zijn dus nog niet van toepassing.
De Commissie stelt voor om de uitzondering op de verplichting tot het bijhouden van een verwerkingsregister uit de AVG uit te breiden. Die uitzondering geldt dan niet alleen voor SMEs (tot en met 250 medewerkers), maar ook voor SMCs (tot en met 750 medewerkers).
Meer uitleg? Lees dan vooral verder.
De Commissie licht toe dat er geen onnodige lasten op kleinere organisaties moeten rusten en wil zo hun groei stimuleren. Onder meer uit het (omstreden) Draghi-rapport volgt dat er een disproportionele last ligt op de schouders van small and medium-sized enterprises (SMEs – in het Nederlands: MKB) en small mid-caps (SMCs), in vergelijking tot grotere organisaties, als het gaat om Europese regelgeving. De last om de Europese regelgeving na te leven zou de groei van deze organisaties belemmeren – en dat is nou precies wat we in de EU op dit moment níet willen.
SMEs zijn ondernemingen met minder dan 250 werknemers, een jaaromzet van maximaal €50 miljoen of een balanstotaal van maximaal €43 miljoen (volgend de definitie uit deze regelgeving).
SMCs zijn organisaties van drie keer de grootte van een SME – dus met minder dan 750 werknemers en een omzet van maximaal €150 miljoen óf een balanstotaal van maximaal €129 miljoen.
Dit voorstel heeft als doel om SMCs op een gelijke voet te zetten met SMEs. Hoewel groter, bevinden ook deze organisaties zich vaak nog in de groeifase, aldus de Commissie.
Volgens de AVG moeten organisaties die persoonsgegevens verwerken een verwerkingsregister bijhouden (artikel 30 AVG). SMEs zijn hiervan uitgezonderd (artikel 30(5) AVG) behalve als de verwerking een hoog risico inhoudt, de verwerking niet incidenteel is of bijzondere categorieën van persoonsgegevens bevat. Het voorstel beperkt deze uitzondering en introduceert de eerdergenoemde nieuwe categorie van bedrijven: de SMCs.
De Commissie stelt namelijk voor om de uitzondering te verduidelijken en alleen als SMEs of SMCs een verwerking inzetten die waarschijnlijk een hoog risico inhoudt voor betrokkenen, een register te verplichten. Dus, als een verwerking waarschijnlijk een hoog risico inhoudt, moeten zowel SMEs als SMCs die verwerkingen wél registreren, conform artikel 30 AVG. Voor de analyse of een verwerking een hoog risico inhoudt, volgen we dezelfde afweging als die we maken bij het al dan niet uitvoeren van een Data Protection Impact Assessment (of “gegevensbeschermingseffectbeoordeling”, artikel 35 AVG) of dat de verwerking bijzondere persoonsgegevens bevat ter uitvoering van verplichtingen of uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht (artikel 9(2)b AVG). Oftewel: een hoog risico dus.
Het lijkt er dus op, dat met de huidige tekst van de EC, er ook in het geval van niet-incidentele verwerkingen geen register vereist is van SMEs en SMCs. Let wel: dit is niet bindend tot er een definitieve tekst en interpretatie is. De aanpassing die de EC voorstelt voor artikel 30 lid 5 AVG luidt als volgt: “5. De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op een onderneming of organisatie die minder dan 750 personen in dienst heeft, tenzij de verwerking ervan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen in de zin van artikel 35.” Hoe dit uiteindelijk eruit komt te zien, is dus nog niet duidelijk.
De Commissie vergroot hiermee de uitzondering aanzienlijk: van organisaties met 250 naar 750 medewerkers – daarmee vallen ineens véél meer organisaties onder de regeling. Hoewel het in kaart brengen van gegevensstromen bij de komst van de AVG voor veel gevestigde, grotere organisaties nogal een ingreep kon zijn, geldt dat in mindere mate voor kleinere organisaties die al AVG-bewust werkten. Toch is dit voorstel in essentie een verlichting voor de “kleinere” (of zeg vooral: niet grote) organisaties.
Blijf dus wel opletten: het blijft belangrijk om per verwerking te beoordelen of er sprake is van (waarschijnlijk) hoog risico voor betrokkenen, bijvoorbeeld bij bijzondere persoonsgegevens. In zulke gevallen blijft een DPIA verplicht, en daarmee ook het verwerkingsregister. Kijk voor deze afweging ook naar de lijst van de Nederlandse toezichthouder voor verplichte DPIA’s.
Meer weten over de ontwikkelingen rond de omnibuspakketten? Zie de introducerende blog hierover, waarin we ook ingingen op het uitstel van de CSRD en de CSDDD.
Hulp nodig bij het uitvoeren van een DPIA? Onze experts helpen je graag.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.