De Europese Commissie (“Commissie”) publiceerde op 21 mei 2025 haar vierde Omnibusvoorstel (alleen beschikbaar in het Engels – dit blog hanteert daarom Engelse termen). Eerder schreven wij een introducerende blog over de Omnibusvoorstellen. Dit keer gaat het onder meer om een vereenvoudiging van de AVG, als onderdeel van het bredere omnibuspakket voor midden- en kleine ondernemingen. Deze hervorming brengt vooral verlichting voor kleinere organisaties. Wat zijn de belangrijkste punten?
Let op: deze regeling is een voorstel dat nu voorligt bij de Raad van de Europese Unie voor de eerste lezing. De regels zijn dus nog niet van toepassing.
De Commissie stelt voor om de uitzondering op de verplichting tot het bijhouden van een verwerkingsregister uit de AVG uit te breiden. Die uitzondering geldt dan niet alleen voor SMEs (tot en met 250 medewerkers), maar ook voor SMCs (tot en met 750 medewerkers).
Meer uitleg? Lees dan vooral verder.
De Commissie licht toe dat er geen onnodige lasten op kleinere organisaties moeten rusten en wil zo hun groei stimuleren. Onder meer uit het (omstreden) Draghi-rapport volgt dat er een disproportionele last ligt op de schouders van small and medium-sized enterprises (SMEs – in het Nederlands: MKB) en small mid-caps (SMCs), in vergelijking tot grotere organisaties, als het gaat om Europese regelgeving. De last om de Europese regelgeving na te leven zou de groei van deze organisaties belemmeren – en dat is nou precies wat we in de EU op dit moment níet willen.
SMEs zijn ondernemingen met minder dan 250 werknemers, een jaaromzet van maximaal €50 miljoen of een balanstotaal van maximaal €43 miljoen (volgend de definitie uit deze regelgeving).
SMCs zijn organisaties van drie keer de grootte van een SME – dus met minder dan 750 werknemers en een omzet van maximaal €150 miljoen óf een balanstotaal van maximaal €129 miljoen.
Dit voorstel heeft als doel om SMCs op een gelijke voet te zetten met SMEs. Hoewel groter, bevinden ook deze organisaties zich vaak nog in de groeifase, aldus de Commissie.
Volgens de AVG moeten organisaties die persoonsgegevens verwerken een verwerkingsregister bijhouden (artikel 30 AVG). SMEs zijn hiervan uitgezonderd (artikel 30(5) AVG). Het voorstel introduceert deze eerdergenoemde nieuwe categorie van bedrijven: de SMCs, en breidt de uitzondering naar hen uit.
De Commissie voegt daarbij wel een nieuwe voorwaarde toe: als een verwerking waarschijnlijk een hoog risico inhoudt, moeten zowel SMEs als SMCs die verwerkingen wél registreren, conform artikel 30 AVG. Voor de analyse of een verwerking een hoog risico inhoudt, volgen we dezelfde afweging als die we maken bij het al dan niet uitvoeren vaneen Data Protection Impact Assessment (of “gegevensbeschermingseffectbeoordeling”, artikel 35 AVG) of dat de verwerking bijzondere persoonsgegevens bevat ter uitvoering van verplichtingen of uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht (artikel 9(2)b AVG). Oftewel: een hoog risico dus.
De Commissie benadrukt in haar voorstel dat verenigingen en andere lichamen die zich bezighouden met het opstellen van gedragscodes en het ontwerpen van certificeringsmechanismen (zoals bedoeld in artikelen 40 en 42 AVG) rekening moeten houden met de specifieke behoeften van – je raadt het al – niet alleen SMEs, maar ook SMCs.
De Commissie vergroot hiermee de uitzondering aanzienlijk: van organisaties met 250 naar 750 medewerkers – daarmee vallen ineens véél meer organisaties onder de regeling. Hoewel het in kaart brengen van gegevensstromen bij de komst van de AVG voor veel gevestigde, grotere organisaties nogal een ingreep kon zijn, geldt dat in mindere mate voor kleinere organisaties die al AVG-bewust werkten. Toch is dit voorstel in essentie een verlichting voor de “kleinere” (of zeg vooral: niet grote) organisaties.
Blijf dus wel opletten: het blijft belangrijk om per verwerking te beoordelen of er sprake is van (waarschijnlijk) hoog risico voor betrokkenen, bijvoorbeeld bij bijzondere persoonsgegevens. In zulke gevallen blijft een DPIA verplicht, en daarmee ook het verwerkingsregister. Kijk voor deze afweging ook naar de lijst van de Nederlandse toezichthouder voor verplichte DPIA’s.
Meer weten over de ontwikkelingen rond de omnibuspakketten? Zie de introducerende blog hierover, waarin we ook ingingen op het uitstel van de CSRD en de CSDDD.
Hulp nodig bij het uitvoeren van een DPIA? Onze experts helpen je graag.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.