Digital Omnibus: vereenvoudiging van EU-regels voor data en digitale diensten

Op 19 november 2025 heeft de Europese Commissie het voorstel voor de Digital Omnibus gelanceerd. Dit pakket moet de bestaande Europese regels rond data, privacy en cybersecurity stroomlijnen en beter op elkaar afstemmen.

1. Context: waarom een Digital Omnibus?

De voorbije jaren zijn er verschillende grote Europese regelgevingen tot stand gekomen: de GDPR, de ePrivacy-regels, de Data Act, de NIS2-richtlijn en kaders rond digitale veerkracht en cyberincidenten. In de praktijk leidt dit voor bedrijven vaak tot overlappende verplichtingen, verschillende definities en complexe rapportageprocedures.

De Digital Omnibus wil die versnippering terugdringen door definities, verplichtingen en procedures beter op elkaar af te stemmen en waar mogelijk te vereenvoudigen.

2. Belangrijkste inhoudelijke wijzigingen

2.1 Eén centraal meldpunt voor incidenten

Vandaag moeten bedrijven cyberincidenten en datalekken vaak bij meerdere autoriteiten en volgens verschillende procedures melden. De Digital Omnibus introduceert het principe van een EU-breed centraal meldpunt:

  • één digitale interface voor het melden van incidenten;
  • de melding wordt vervolgens intern verder verdeeld naar de bevoegde autoriteiten;
  • minder dubbele en tegenstrijdige rapportageverplichtingen.

2.2 Aanpassing van meldtermijnen bij datalekken

Onder de huidige GDPR geldt in principe een meldtermijn van 72 uur voor datalekken. De Digital Omnibus stelt voor om deze termijn te verruimen naar 96 uur. De bedoeling is om organisaties iets meer tijd te geven om:

  • de impact van het incident te beoordelen;
  • de feiten te verifiëren en te documenteren;
  • een meer volledige en consistente melding te doen.

2.3 Harmonisatie met Data Act, AI-regels en cybersecuritykaders

Het voorstel probeert ook de relatie tussen verschillende kaders te verduidelijken: de Data Act, AI-regelgeving en cybersecurity-wetgeving worden beter op elkaar afgestemd. Dit moet meer duidelijkheid brengen over:

  • welke data onder welke basis (GDPR, Data Act, contract, gerechtvaardigd belang) verwerkt mogen worden;
  • hoe data gebruikt mogen worden voor AI-training en automatisering;
  • hoe incident- en risicorapportering tussen de verschillende domeinen wordt gecoördineerd.

3. Potentiële voordelen voor bedrijven

Voor ondernemingen, en zeker voor kmo's en digitale dienstverleners, kan de Digital Omnibus een aantal concrete voordelen opleveren:

  • Minder administratieve last: minder dubbele meldingen en meer uniforme procedures.
  • Meer rechtszekerheid: duidelijkere definities en afstemming tussen verschillende EU-regels.
  • Lagere compliance-kosten: minder tijd en middelen nodig om uiteenlopende verplichtingen te interpreteren en op elkaar te lijmen.
  • Meer ruimte voor innovatie: door meer voorspelbaarheid rond datagebruik, automatisering en AI-toepassingen.

4. Kritiek en zorgpunten

Tegelijk is er stevige kritiek van privacy- en burgerrechtenorganisaties. Hun voornaamste bezorgdheden:

  • Mogelijke afzwakking van bescherming: ruimere verwerkingsmogelijkheden en soepelere meldplichten zouden de drempel kunnen verlagen om meer data te verzamelen en te koppelen.
  • Uitbreiding van geautomatiseerde verwerking: het makkelijker combineren van datasets en het gebruik voor AI-training kan, zonder strikte waarborgen, leiden tot profiling en risico's voor fundamentele rechten.
  • Onduidelijkheid rond reikwijdte van “persoonsgegevens”: discussies over welke gegevens nog als persoonsgegevens moeten worden beschouwd (IP-adressen, identifiers, technische sleutels) blijven gevoelig.

De kern van de kritiek is dat simplificatie niet mag uitdraaien op een feitelijke versoepeling van de bescherming van natuurlijke personen, vooral waar het gaat om grootschalige of geautomatiseerde gegevensverwerking.

5. Tijdslijn en verdere besluitvorming

Het Digital Omnibus-voorstel is een initiatief van de Europese Commissie. De volgende stappen zijn:

  1. Bespreking en wijziging door het Europees Parlement.
  2. Onderhandelingen met de Raad van de Europese Unie (de lidstaten).
  3. Eventuele triloogonderhandelingen en uiteindelijke politieke overeenkomst.
  4. Publicatie in het Publicatieblad van de EU en een overgangsperiode voordat de regels effectief gelden.

In een ambitieus scenario zouden de eerste delen van het pakket al in 2026 goedgekeurd en gefaseerd van kracht kunnen worden, al hangt dit af van de politieke onderhandelingen.

6. Wat betekent dit voor digitale kmo's en dienstverleners?

Voor kmo's, softwarebouwers en aanbieders van digitale diensten of platforms zijn er enkele praktische gevolgen om op te volgen:

  • Herbekijk interne procedures voor datalek- en incidentrapportering zodra de nieuwe regels definitief zijn.
  • Zorg voor een heldere data-inventaris: welke gegevens worden verzameld, op welke basis en voor welke doeleinden.
  • Documenteer hoe data worden gebruikt voor automatisering, AI, profiling of personalisatie.
  • Hou rekening met het onderscheid tussen technische identificatoren (zoals IP-adressen of unieke sleutels) en andere persoonsgegevens, en hoe deze in het nieuwe kader worden behandeld.

Voor kleinere ondernemingen kan het nuttig zijn om tijdig een overzicht te maken van bestaande compliance-documentatie (privacybeleid, verwerkersovereenkomsten, DPIA's, incidentprocedures) zodat eventuele aanpassingen na de definitieve goedkeuring van de Digital Omnibus sneller kunnen worden doorgevoerd.

Let op: de Digital Omnibus is op dit moment nog een voorstel. De uiteindelijke tekst kan na het wetgevingsproces nog wijzigen. Het is daarom aangewezen de verdere evolutie in de Europese instellingen op te volgen.