Wat de Commissie werkelijk heeft voorgesteld

Op 19 november 2025 heeft de Europese Commissie de Digital Omnibus gepubliceerd, een pakket dat de AVG zou wijzigen naast de ePrivacy-regels, de Data Act en ander digitaal recht. Het is de eerste serieuze poging om de AVG te herzien sinds de verordening in mei 2018 in werking trad. Het verklaarde doel is vereenvoudiging: minder administratieve verplichtingen voor verwerkingen met een lager risico, duidelijkere definities en een centraal punt voor het melden van incidenten over verschillende EU-instrumenten heen.

Verschillende wijzigingen zijn van belang voor een eigenaarsgedreven onderneming. De plicht om een functionaris voor gegevensbescherming aan te stellen zou enger worden gevat, zodat minder bedrijven verplicht zouden zijn er een aan te wijzen. De definitie van persoonsgegevens zou worden verduidelijkt, met bijzondere aandacht voor gepseudonimiseerde gegevens, zodat informatie mogelijk niet als persoonsgegeven geldt voor een bedrijf dat geen redelijke middelen heeft om de persoon erachter te identificeren. De vrijstelling van het bijhouden van een verwerkingsregister zou opschuiven naar grotere personeelsaantallen, en de melding van datalekken zou verschuiven van een venster van 72 uur naar 96 uur en alleen gelden waar het risico voor mensen hoog is.

Waarom dit een voorstel is en niet de wet

Niets hiervan is van kracht. De Digital Omnibus is een ontwerpverordening die de gewone wetgevingsprocedure van de EU is ingegaan, wat betekent dat zij door het Europees Parlement en de Raad van de Europese Unie moet worden onderhandeld en overeengekomen voordat zij kan worden aangenomen. Teksten die deze procedure ingaan worden routinematig gewijzigd, en delen van deze tekst worden al herzien. Volgens de huidige planning wordt definitieve aanneming niet eerder verwacht dan eind 2026 of 2027, en nieuwe verplichtingen zouden dan hun eigen overgangstermijnen kennen.

De hervorming wordt ook betwist door de instellingen die toezicht houden op gegevensbescherming. In een gezamenlijk advies van 11 februari 2026 verwelkomden het Europees Comite voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming een deel van de vereenvoudiging, waaronder de lichtere meldplicht, terwijl zij zich krachtig verzetten tegen de engere definitie van persoonsgegevens en de bevoegdheid die deze de Commissie zou geven om bij uitvoeringshandeling te bepalen wat na pseudonimisering als persoonsgegeven geldt. Die onenigheid is een duidelijk signaal dat de definitieve formulering nog niet vaststaat.

Wat een eigenaar nu zou moeten doen

De fout is in beide richtingen gemakkelijk te maken. De ene is de hervorming volledig te negeren en onvoorbereid te worden overvallen wanneer de verplichtingen uiteindelijk veranderen. De andere, kostbaardere, is nu op basis van een voorstel uw gegevensbescherming af te breken: een functionaris voor gegevensbescherming terugtrekken, registers wissen of meldprocedures versoepelen terwijl de geldende AVG volledig van kracht en volledig handhaafbaar blijft. Tot de aanneming gelden de regels van vandaag onverkort, en de toezichthoudende autoriteiten kunnen er nog steeds op handelen.

De bezonnen reactie is het dossier te volgen en erop vooruit te plannen, niet ernaar te handelen. Noteer welke van uw huidige verplichtingen zouden verlichten als het voorstel grotendeels in zijn huidige vorm wordt aangenomen, en waar de verandering werkelijk reele kosten of risico voor uw onderneming zou verminderen. Houd uw huidige compliance intact, volg de fasen in Parlement en Raad en de adviezen van het toezicht, en wees klaar om snel te handelen zodra een definitieve tekst en de bijbehorende overgangstermijnen bekend zijn. Gedisciplineerde gereedheid kost weinig. Voortijdige afbouw stelt u bloot voor een voordeel dat nog niet bestaat.