Digitale regels stapelen zich in hoog tempo op binnen de Europese Unie. Voor bedrijven en toezichthouders wordt het daardoor steeds lastiger om het overzicht te bewaren. Met de zogenoemde 'Digital Omnibus Package' ('Digital Omnibus') wil de Europese Commissie daar verandering in brengen. In één voorstel tot vereenvoudiging van bestaande wetgeving worden bestaande regels aangepast, samengevoegd en zelfs geschrapt. Dat klinkt efficiënt, maar roept ook direct de vraag op wat deze vereenvoudiging in de praktijk betekent. Wordt het Europese digitale speelveld hiermee echt duidelijker, of vormt de Digital Omnibus juist een bedreiging voor onze grondrechten, en resulteert het in onduidelijkheid nu delen van onder meer de Algemene Verordening Gegevensbescherming ('AVG'), de Data Verordening ('Data Act') en regels over e-privacy en cyberbeveiliging op de schop gaan?
Het doel
De Digital Omnibus heeft als doel om de bestaande Europese internemarktregels over data, privacy en cyberbeveiliging eenvoudiger te vereenvoudigen en beter op elkaar af te stemmen, om de Europese markt te versterken. De Europese Commissie wil daarmee het digitale regelgevingskader overzichtelijker maken, onnodige overlap tussen verschillende wetten verminderen en geharmoniseerde interpretatie bevorderen. Concreet betekent dit dat verschillende dataregels meer in samenhang worden gebracht, dat de AVG op onderdelen wordt aangepast, en dat ook regels over AI, cookietoestemming en meldplichten bij cyberincidenten worden herzien. Volgens de Commissie moet dat leiden tot minder complexiteit en lagere lasten.
Hoewel het voorstel digitale regelgeving wil versimpelen, wijst het College voor de Rechten van de Mens ('College') op een afzwakking van de bescherming van grondrechten die hierdoor plaatsvindt. Volgens het College komt de beoogde vereenvoudiging in de praktijk vooral neer op het versoepelen van bepalingen die burgers juist zouden moeten beschermen tegen overheidsoptreden en de macht van bedrijven.
Wat verandert er?
Een aantal losse wetten verdwijnt, en de inhoud hiervan wordt opgenomen in andere bestaande wetten. Zo worden onderdelen van de Data Governance Act, de Open Data-richtlijn en de regels over het vrije verkeer van niet-persoonsgebonden gegevens opgenomen in de Data Act. Ook de P2B-Verordening verdwijnt als aparte wet, en de inhoud hiervan wordt opgenomen in de Digital Services Act en de Digital Markets Act. Het idee hierachter is simpel, namelijk minder losse wetten, minder overlap en meer duidelijkheid.
AVG (Verordening (EU) 2016/679)
De Digital Omnibus wil de naleving van de AVG vereenvoudigen. Zo zou op basis van het voorstel niet ieder datalek meer hoeven te worden gemeld. Alleen als er waarschijnlijk sprake is van een hoog risico voor de rechten en vrijheden van mensen, geldt nog een meldplicht. Ook wordt de termijn voor kennisgeving in geval van een datalek verruimd.
De definitie van persoonsgegevens zal worden verduidelijkt. Zo zal informatie voor een entiteit niet als persoonsgegevens worden aangemerkt indien die entiteit niet beschikt over middelen waarmee de natuurlijke persoon op wie de informatie betrekking heeft, redelijkerwijs kan worden geïdentificeerd.
Voor kleine organisaties worden sommige informatieplichten lichter, vooral in eenvoudige situaties waarin al veel duidelijk is voor de betrokkene. Ook het inzagerecht wordt enigszins beperkt, omdat organisaties een verzoek sneller mogen weigeren of daarvoor een vergoeding mogen vragen wanneer sprake is van misbruik.
Ook wil de Commissie de regels rond Data Protection Impact Assessments ('DPIA') harmoniseren, door te zorgen voor een geharmoniseerde uitleg van het begrip "hoog risico voor de rechten en vrijheden van betrokkenen". Daarmee wil de Commissie voorkomen dat tussen lidstaten uiteenlopende interpretaties ontstaan en juist toewerken naar één duidelijke Europese lijn voor verwerkingsverantwoordelijken.
De Data Act (Verordening (EU) 2023/2854)
De Data Act krijgt met de Digital Omnibus een belangrijkere rol. Ook wil de Commissie de hieruit voortvloeiende regels werkbaarder maken. Zo moet beter worden voorkomen dat bedrijfsgeheimen onbedoeld bij derde landen terechtkomen, en worden de mogelijkheden voor overheden om gegevens op te vragen beter afgebakend.
Verder blijft het uitgangspunt dat overstappen tussen clouddiensten gemakkelijker moet worden gemaakt. Dat moet voorkomen dat organisaties vastzitten aan één aanbieder. Wel wordt op sommige punten rekening gehouden met kleinere aanbieders en maatwerkdiensten. Daarnaast wil de Commissie het gebruik van overheidsdata eenvoudiger maken, bijvoorbeeld via één centraal punt waar publieke datasets te vinden zijn.
De AI Act (Verordening 2024/1689)
Onderdeel van de Digital Omnibus is het aanpassen van de AI Act op bepaalde onderdelen. Omdat deze wet nog vrij recent is, gaat het vooral om praktische bijstellingen. Eén van de bijstellingen is het verschuiven van de verantwoordelijkheid voor AI-geletterdheid van individuele bedrijven naar overheden.
Ook worden sommige regels voor hoog-risico-AI versoepeld. Denk aan minder registratieverplichtingen, een eenvoudiger systeem voor CE-markering en lagere boetes voor het mkb. Op sommige punten wordt ook uitstel gegeven, zodat organisaties meer tijd krijgen om aan de regels te voldoen.
Bovendien zullen er richtlijnen worden opgesteld door de Europese Commissie ten aanzien van de AI Act met de nadruk op het verstrekken van duidelijke en praktische aanwijzingen voor de toepassing van de AI Act in combinatie met EU-wetgeving.
Fase van het voorstel
Hoewel het voorstel veel aandacht krijgt, is van geldend recht voorlopig nog geen sprake. Het betreft een Commissievoorstel van 19 november 2025 dat nog de gewone wetgevingsprocedure moet doorlopen. Dat betekent dat zowel het Europees Parlement als de Raad het nog moeten behandelen en dat een definitieve ingangsdatum vooralsnog ontbreekt.
Hoewel het voorstel nog niet definitief is, is de besluitvorming inmiddels wel in volle gang. In Nederland stemde de Eerste Kamer op 24 februari 2026 in met een parlementair behandelvoorbehoud voor de Omnibus Digitaal en Omnibus AI. Daarna is de behandeling voortgezet in commissieverband. Ook op Europees niveau is het dossier in beweging. Op 26 maart 2026 stemde het Europees Parlement plenair in met het ontwerpverslag ter voorbereiding op de triloogfase.
Voor wie is dit relevant?
Het voorstel voor de Digital Omnibus is relevant voor organisaties die onder de Data Act, AVG en/of de AI Act vallen. Voor organisaties die onder de AVG vallen wil de Europese Commissie belangrijke begrippen, zoals het begrip persoonsgegevens, verder verduidelijken en de naleving van de regels eenvoudiger maken, bijvoorbeeld waar het gaat om pseudonimisering, informatieverplichtingen en het melden van datalekken. Daarnaast raakt het voorstel partijen in de data-economie, zoals aanbieders van dataverwerkingsdiensten en databemiddelingsdiensten.
Meer informatie?
De nieuwe Europese digitale wetgeving zal ingrijpende veranderingen met zich meebrengen. Heb jij een onderneming en zijn de Data Act, AVG en/of AI Act op jou van toepassing? Dan kunnen wij ons voorstellen dat het voorstel van de Digital Omnibus vragen met zich meebrengt over wat deze ontwikkelingen precies voor jouw organisatie betekenen. Neem gerust (vrijblijvend) contact met op met Dagmar of één van onze andere professionals uit het team IE, IT & Privacy.
