Digital Omnibus: vereenvoudiging van privacyregels of nieuwe complexiteit voor organisaties?
De Europese Commissie werkt aan het zogenoemde Digital Omnibus-pakket, een omvangrijk initiatief dat bestaande digitale wetgeving moet vereenvoudigen. Onder dit pakket vallen onder meer aanpassingen aan de AVG (GDPR) en de AI Act. Het doel is duidelijk: minder administratieve lasten, snellere innovatie en een sterkere Europese concurrentiepositie in de wereldwijde digitale economie.
Maar achter die belofte van vereenvoudiging schuilt een fundamentele vraag: wordt compliance daadwerkelijk eenvoudiger, of verschuift de complexiteit juist naar organisaties zelf?
Van strikte regels naar meer interpretatieruimte
Sinds de invoering van de AVG is het uitgangspunt helder: persoonsgegevens mogen alleen worden verwerkt met een duidelijke wettelijke grondslag, waarbij expliciete toestemming vaak centraal staat. In de praktijk heeft dit geleid tot uitgebreide documentatie, DPIA’s, cookiebanners en verantwoordingsplichten.
Binnen Digital Omnibus onderzoekt de Europese Commissie hoe deze regels soepeler kunnen worden toegepast. Een belangrijke verandering is dat organisaties in meer gevallen een beroep zouden kunnen doen op het gerechtvaardigd belang, bijvoorbeeld bij het trainen van AI-systemen of het analyseren van gebruikersgedrag. Daarmee verschuift de focus van voorafgaande toestemming naar een belangenafweging door de organisatie zelf.
Op papier lijkt dat eenvoudiger. In de praktijk betekent het dat organisaties zelf scherper moeten onderbouwen, vastleggen en kunnen uitleggen waarom een verwerking gerechtvaardigd is.
Minder regels betekent niet minder verantwoordelijkheid
Waar regelgeving versoepelt, neemt de bestuurlijke verantwoordelijkheid juist toe. Organisaties krijgen meer ruimte, maar ook meer risico.
Drie aandachtspunten springen eruit:
1. Juridische en ethische afwegingen komen bij het bestuur te liggen
Als expliciete toestemming minder vaak vereist is, moeten organisaties zelf bepalen waar de grens ligt tussen innovatie en privacybescherming. Dat vraagt om duidelijke governance, betrokkenheid van FG en CISO, en besluitvorming op bestuursniveau.
2. Transparantie wordt minder vanzelfsprekend
Voorstellen binnen Digital Omnibus raken ook de transparantieverplichtingen uit de AI Act. Denk aan uitstel voor bepaalde hoog-risico-AI-regels of het versimpelen van registraties. Minder formele verplichtingen betekent niet dat toezichthouders minder kritisch worden. Organisaties zullen zelf aantoonbaar moeten maken hoe AI-systemen functioneren en welke risico’s zijn afgewogen.
3. Ketenaansprakelijkheid blijft bestaan
Ook als een organisatie zelf niet direct onder strengere regels valt, blijft zij verantwoordelijk voor de keuzes van leveranciers, platforms en AI-aanbieders. Meer flexibiliteit in de wet ontslaat organisaties niet van hun zorgplicht richting klanten, burgers of medewerkers.
De burger als blinde vlek?
Consumentenorganisaties waarschuwen dat vereenvoudiging kan doorslaan in verzwakking. Met name het idee dat het ontbreken van een expliciete weigering kan worden uitgelegd als toestemming, roept zorgen op. Ook voorstellen rond cookiebanners en laag-risico trackers maken duidelijk dat gebruiksgemak en privacybescherming steeds vaker op gespannen voet staan.
Voor organisaties betekent dit een extra realiteit: wat juridisch mag, is niet automatisch maatschappelijk acceptabel. Reputatieschade, verlies van vertrouwen en publieke kritiek ontstaan vaak los van formele boetes.
Wat betekent dit concreet voor organisaties?
Digital Omnibus verandert de spelregels, maar maakt compliance niet eenvoudiger. Integendeel: organisaties moeten zich voorbereiden op een situatie waarin:
- minder regels vooraf gelden, maar
- meer uitleg achteraf wordt verwacht
- meer verantwoordelijkheid bij bestuur en management ligt
- toezicht verschuift van checklist-compliance naar inhoudelijke beoordeling
Dat vraagt om:
- goed vastgelegde afwegingen
- aantoonbare kennis bij medewerkers
- continue monitoring van AI- en dataverwerkingen
- training in privacy, informatiebeveiliging en AI-gebruik
Conclusie: eenvoud in wetgeving vraagt volwassenheid in uitvoering
Digital Omnibus laat zien dat Europese wetgeving volwassen wordt. Niet alles kan meer dichtgeregeld worden. Dat betekent dat organisaties die nu investeren in bewustwording, training en governance straks het verschil maken.
De vraag is niet langer alleen: voldoen we aan de regels?
Maar vooral: kunnen we uitleggen waarom we deze keuzes maken en dragen we daar verantwoordelijkheid voor?
Juist in die verschuiving ligt de echte uitdaging voor compliance in de komende jaren.
Meest gelezen
- Het verschil tussen een Functionaris Gegevensbescherming (FG) en een Privacy Officer (PO).
- Nieuwe regels vanaf 2023 voor AVG-boetes: wat je moet weten
- AVG e-learning: zorg dat je medewerkers op de hoogte zijn
- AVG training voor het vergroten van de bewustwording
- Welke informatie bevat het AVG verwerkingsregister?
Vragen? Stuur een appje. 
