Wat de Digital Omnibus voor jou verandert: AVG (3/4)

Wat is het Digital Omnibus-voorstel?

De Europese Commissie heeft op 19 november 2025 een pakket aan wijzigingen gepresenteerd om de regels voor het digitale domein te vereenvoudigen. Er zijn twee voorstellen: het Digital Omnibus-voorstel, dat onder meer wijzigingen bevat voor de AVG, de e-Privacyrichtlijn, NIS2 en andere digitale wetgeving, en het Digital Omnibus-voorstel over AI, dat is o.a. gericht op de AI Act.

Samen worden deze voorstellen gezien als het “Digital Omnibus”-pakket, dat door de Commissie wordt gepresenteerd als een technische update om regels te stroomlijnen en het voor bedrijven makkelijker te maken om aan wetgeving te voldoen. Er heerst veel kritiek, aangezien de voorstellen meer dan alleen technische aanpassingen zouden veroorzaken en er geen impactanalyse is uitgevoerd om het effect van de wijzigingen te meten. Voor de marketingsector zou het inderdaad meer kunnen betekenen dan enkel een technische update: het biedt kansen.

Dit voorstel heeft nog een lange weg te gaan en heeft op dit moment geen directe invloed, maar schetst wel een mogelijk beeld van de toekomst van wetgeving die relevant is voor marketingpraktijken. Meer weten? Stuur ons een mail via legal@ddma.nl.

In deze korte updatereeks vertellen we meer over de mogelijke veranderingen voor de marketingsector voor de volgende onderwerpen:

• AI (AI Act)
• Cookies (e-Privacy Richtlijn)
• Privacy (AVG)
• Data-toegang (Data Act/Data Governance Act)

Privacy (AVG)

1. Afbakening ‘persoonsgegevens’: niet herleidbaar door derden, dus geen persoonsgegeven.

Het Digital Omnibus-voorstel bevat een belangrijke wijziging in de definitie van persoonsgegevens.

Voorheen: Gegevens worden als persoonsgegevens gezien wanneer ze direct of indirect tot een individu zijn te herleiden. Daarbij wordt gekeken naar alle middelen die redelijkerwijs kunnen worden ingezet om iemand te identificeren, dus ook middelen waarover een andere partij beschikt. Daaronder vallen aanvullende gegevens vanuit andere datasets, registers, CRM’s of via technische opties te verkrijgen. Het maakt nu dus niet uit of de organisatie die middelen zelf in huis heeft of gebruikt; het gaat om de mogelijkheid dat identificatie kan plaatsvinden.

Voorstel: In het voorstel wordt identificeerbaarheid afhankelijk van de organisatie die daadwerkelijk de gegevens verwerkt. Kort gezegd: voor organisatie A zijn gegevens alleen persoonsgegevens als organisatie A zelf iemand redelijkerwijs kan identificeren op basis van de gegevens waarover zij beschikt (of kan beschikken). Gegevens en middelen van organisatie B, als een verwerker, spelen hier dus geen rol. Als organisatie A iemand niet kan identificeren, maar organisatie B wel, dan zijn die gegevens voor organisatie A geen persoonsgegevens.

Het voorstel leunt op de conclusie van het Hof van Justitie in de SRB-uitspraak. De verandering kan leiden tot uiteenlopende AVG-verplichtingen binnen één dataketen. Bedrijven die zelf gegevens verzamelen blijven volledig onder de AVG vallen. Maar partijen die later in de keten komen, zoals (sub)verwerkers die alleen pseudoniemen ontvangen, kunnen onder bepaalde voorwaarden juist buiten de AVG gaan vallen. Hier is ook kritiek op. Toezicht en handhaving worden lastiger: wat voor de ene organisatie geen persoonsgegeven is, kan dat voor een andere wel zijn.

Kansen voor downstream partijen
Wanneer jouw organisatie met verkregen gepseudonimiseerde data werkt (bijvoorbeeld als dienstverlener, agency en tech-partner), zou mogelijk een deel van de activiteiten buiten de AVG kunnen vallen, zolang er maar geen “sleutel” beschikbaar is om personen te identificeren. Dit is relevant wanneer je bijvoorbeeld werkt met gehashte e-mailadressen of device ID’s. Alle gegevens die kunnen leiden tot identificeerbaarheid van personen vallen wel nog steeds onder de AVG.

Uiteindelijk draait het om de vraag hoe makkelijk het voor de organisatie die de gegevens verwerkt is om aanvullende informatie te vinden of op te vragen bij andere partijen. Makkelijk genoeg? Dan blijven de verplichtingen van de AVG gewoon gelden.

2. Geautomatiseerde besluitvorming

De voorgestelde tekst verduidelijkt artikel 22 AVG over geautomatiseerde besluitvorming.

1. Meer duidelijkheid over “uitsluitend geautomatiseerd”:
   Een besluit valt onder artikel 22 zodra de uitkomst tot stand komt zonder betekenisvolle menselijke invloed. Het voorstel maakt duidelijk dat menselijke tussenkomst (human-in-the-loop) pas telt als die de uitkomst echt kan veranderen. Een mens in de workflow die enkel meekijkt, haalt een proces dus niet uit de categorie “volledig geautomatiseerde besluitvorming”.
   Dus: werknemer kijkt enkel mee, toch geautomatiseerde besluitvorming.
2. Meer duidelijkheid over het criterium “noodzakelijk voor een contract”:
   Tot nu toe werd vaak gesteld dat geautomatiseerde beslissingen alleen zijn toegestaan als automatisering de enige realistische manier is om het contract uit te voeren. Of op basis van toestemming. Het voorstel maakt dit ruimer. Een organisatie mag ook kiezen voor een volledig automatische beslissing als een medewerker het in theorie ook handmatig zou kunnen doen. Dat er een menselijk alternatief bestaat, maakt automatisering dus niet verboden. Maar nog steeds is dan belangrijk: als er meerdere automatische manieren zijn die even goed werken, kies je de minst ingrijpende optie.

Voor de marketingsector is dit relevant omdat veel beslissingen rondom advertenties en personalisatie feitelijk zonder betekenisvolle menselijke invloed plaatsvinden. Denk bijvoorbeeld aan real time bidding, automatische doelgroepselectie of uitsluiting, dynamische prijzen of geautomatiseerde toekenning van kortingen en aanbiedingen. Door de nieuwe uitleg kan een grotere groep van deze besluiten onder artikel 22 vallen. Tegelijk ontstaat meer ruimte, omdat zulke besluiten ook automatisch mogen worden genomen als een mens ze ook zou kunnen nemen.

3. Datalekken & meldformulier

De deadline voor het melden van een datalek verschuift van 72 naar 96 uur nadat de organisatie bewust is geworden van het datalek. Die extra 24 uur geeft meer ruimte voor triage, eerste onderzoek en een voorlopige risico inschatting, maar het blijft een relatief korte termijn bij complexe incidenten.

Verder zal waarschijnlijk de meldplicht worden beperkt tot datalekken met een hoog risico voor betrokkenen. Daardoor hoeven minder incidenten gemeld te worden bij de toezichthouder (de Autoriteit Persoonsgegevens), maar organisaties moeten beter en sneller onderbouwen waarom een lek wel of niet als hoog risico geldt. Partijen die met veel data stromen werken moeten dus hun incident-classificatie en logboek klaar hebben, omdat risico indicaties nóg belangrijker worden in het meldproces.

In het Digital Omnibus-voorstel staat ook dat er een standaard EU meldformulier beschikbaar wordt gesteld. En er komt één Europees meldloket voor incidentrapportage, zodat een melding kan doorlopen naar meerdere regimes zoals AVG en NIS2.

4. Uitzonderingen privacystatement (niet heel relevant voor de marketingsector)

Het voorstel bevat ook twee uitzonderingen op de informatieplicht uit artikel 13 AVG. Dat artikel verplicht je om bij het verzamelen van persoonsgegevens uit te leggen wat je ermee doet, meestal via een privacystatement. De uitzonderingen gelden alleen als extra uitleg weinig toevoegt of praktisch lastig is. Er zijn twee uitgezonderde situaties, ten eerste, als het gaat om kleine, niet data intensieve relaties of wetenschappelijk onderzoek. Hier is al geen sprake meer van zodra je data deelt, verwerkt buiten de EU of profilering inzet. Ten tweede is wetenschappelijk onderzoek uitgezonderd, maar dit geldt niet voor commerciële marketing.

De marketingsector zal onder de normale transparantieplicht blijven vallen, mits je organisatie toch echt valt onder de uitzonderingen.

Meer weten?
Heb je vragen over de Digital Omnibus? Stuur ons een mail aan het DDMA Legal Team via legal@ddma.nl.

Allisha Hosli

Legal Counsel