Spring naar content

Wat is het Digital Omnibus-voorstel?

De Europese Commissie heeft op 19 november 2025 een pakket aan wijzigingen gepresenteerd om de regels voor het digitale domein te vereenvoudigen. Er zijn twee voorstellen: het Digital Omnibus-voorstel, dat onder meer wijzigingen bevat voor de AVG, de e-Privacyrichtlijn, NIS2 en andere digitale wetgeving, en het Digital Omnibus-voorstel over AI, dat is o.a. gericht op de AI Act.

Samen worden deze voorstellen gezien als het “Digital Omnibus”-pakket, dat door de Commissie wordt gepresenteerd als een technische update om regels te stroomlijnen en het voor bedrijven makkelijker te maken om aan wetgeving te voldoen. Er heerst veel kritiek, aangezien de voorstellen meer dan alleen technische aanpassingen zouden veroorzaken en er geen impactanalyse is uitgevoerd om het effect van de wijzigingen te meten. Voor de marketingsector zou het inderdaad meer kunnen betekenen dan enkel een technische update: het biedt kansen.

Dit voorstel heeft nog een lange weg te gaan en heeft op dit moment geen directe invloed, maar schetst wel een mogelijk beeld van de toekomst van wetgeving die relevant is voor marketingpraktijken. Meer weten? Stuur ons een mail via legal@ddma.nl.

In deze korte updatereeks vertellen we meer over de mogelijke veranderingen voor de marketingsector voor de volgende onderwerpen:

  • AI (AI Act)
  • Cookies (e-Privacy Richtlijn)
  • Privacy (AVG)
  • Data-toegang (Data Act/Data Governance Act)

Cookies

De Commissie erkent dat de huidige cookiewet aan verandering toe is. Zo is consent fatigue bij gebruikers door de grote hoeveelheid banners een probleem, maar ook hoge en stijgende compliance kosten voor organisaties zijn gevolg van ouderwetse regelgeving. Veel online diensten draaien op advertentie inkomsten, vaak gepersonaliseerd. Daarvoor gebruiken ze cookies en vergelijkbare technieken om informatie te lezen of op te slaan op apparaten. Dat kan low risk zijn (dienst optimaliseren, security), maar ook high risk (gedrag volgen over diensten heen voor gepersonaliseerde ads).

Momenteel geldt een dubbele set regels. Ten eerste gelden de ePrivacy-regels (in Nederland geïmplementeerd in artikel 11.7a Telecommunicatiewet) gericht op het plaatsen en uitlezen van cookies en andere technieken. Waar aanvullend persoonsgegevens worden verwerkt, is daarnaast de AVG van toepassing. Toestemming is vereist, tenzij alleen cookies (of vergelijkbare technieken) worden geplaatst die een functioneel of beperkt analytisch doel dienen. Lees over de huidige regels hier meer.

Die verschillende wetten zorgen volgens de Commissie voor juridische onzekerheid en een versnipperd toezicht.

Wat gaat er veranderen ten opzichte van de huidige situatie?

1. Regels over ‘toegang tot apparaat’ verschuift van ePrivacy naar AVG

Met de Omnibus moet de verhouding tussen de ePrivacy regelgeving en AVG simpeler worden. Wanneer een cookie of vergelijkbare techniek het apparaat van een gebruiker raakt (ofwel: een script begint te laden) valt dit straks onder de AVG. Daarbij worden een aantal uitzonderingen genoemd op het vragen van toestemming:

  • de technische transmissie van communicatie
  • het leveren van een dienst die de gebruiker expliciet heeft gevraagd
  • eigen, geaggregeerde metingen door de organisatie zelf
  • beveiliging en onderhoud van de dienst of het apparaat

    Past de verwerking niet binnen een van deze doelen, dan laat de Europese Commissie ruimte voor gerechtvaardigd belang als mogelijke AVG-grondslag. Dit vereist een belangenafweging, waarbij je gebruik kunt maken van dit template: DDMA template gerechtvaardigd belang.

    Aanvullend moeten de volgende punten in overweging worden genomen bij de belangenafweging:

    • of de betrokkene kind is
    • redelijke verwachtingen van de betrokkene
    • impact door schaal of gevoeligheid van data
    • de verwerking mag niet extensief zijn qua hoeveelheid of categorieën
    • het mag niet gebaseerd zijn op monitoring van grote delen van iemands online activiteit
    • er mag geen continue monitoring van het privéleven ontstaan

    Is dit niet mogelijk, dan is toestemming vragen noodzakelijk. Dat zal voor methodes als third-party analytics of advertising, social pixels en profiling nodig blijven.

    Belangrijk detail: de cookieregels in de ePrivacy Richtlijn verdwijnen niet. Ze blijven bestaan, maar zodra er sprake is van een cookietechniek én verwerking van    persoonsgegevens geldt het AVG-artikel. In de praktijk betekent dat dat bijna              alles wat websites en apps nu doen met tracking en cookies onder de AVG zou vallen, niet meer onder ePrivacy regulering.

    2. Privacy signals via browser of besturingssysteem

    Het Omnibus voorstel introduceert privacy signals: een instelling in browser of besturingssysteem waarmee iemand vooraf kan aangeven niet gevolgd te willen worden. Een ‘alles weigeren’-browserstatus zou ervoor kunnen zorgen dat minder banners worden getoond en tracking automatisch zou kunnen worden geblockt. Voor mediaservices komt een uitzondering. Media, zoals nieuwssites, mogen deze signalen negeren en hun eigen consentbanner blijven tonen om alsnog toestemming te vragen onder het mom van onafhankelijke journalistiek. Cookies en banners verdwijnen dus niet, maar hun impact wordt per sector verschillend.

    3. Zes maanden niet opnieuw vragen

    Als iemand cookies voor een bepaald doel weigert, mag je minimaal zes maanden niet opnieuw om toestemming vragen. Hoe dit in de praktijk moet gaan uitpakken is nog maar de vraag, gezien zo’n weigering ook onthouden moet kunnen worden (door middel van, een cookie?)

    4. Het einde van de cookiebanner?

    Het voorstel maakt weigeren eenvoudiger en beperkt herhaalde consentbanners. Maar: alleen wanneer organisaties binnen de toestemmingsvrije route blijven, zullen minder banners worden getoond. De meeste sites draaien op standaard third party stacks zoals GTM, GA4, Ads en andere pixels. Daardoor blijven banners voor het overgrote deel van de markt onvermijdelijk.

    Het voorstel kan een grote impact voor marketingsector hebben. Het kan lastiger zijn doelgroepen opnieuw te bereiken, doordat je zes maanden na weigering niet opnieuw om toestemming mag vragen. Alhoewel transparantie en controle bij de gebruiker toeneemt, en dit volgens de Privacy Monitor ook loont, weten we niet wat dat voor gevolg zou kunnen hebben op consent-clicks.

    Een direct gevolg heeft het voorstel nog niet en er klinkt ook veel kritiek, zowel uit de advertentiesector als van privacyrechten-organisaties. Bij DDMA houden we de ontwikkelingen rondom het Digital Omnibus-voorstel nauw in de gaten. Vragen? Stuur ons een mail via legal@ddma.nl

    Isa Nieuwstad

    Legal Counsel

    Ook interessant

    Lees meer
    AI Act |

    Wat de Digital Omnibus voor jou verandert: Cookiewet (2/4)

    De Europese Commissie heeft op 19 november 2025 een pakket aan wijzigingen gepresenteerd om de regels voor het digitale domein te vereenvoudigen, ook wel Digital Omnibus genoemd. In deze korte…
    Lees meer
    Artificial Intelligence |

    Drie belangrijke uitspraken zaken KNLTB, Meta en OpenAI

    Drie belangrijke uitspraken zaken KNLTB, Meta en OpenAI
    Lees meer
    AI Act |

    Wat de Digital Omnibus voor jou verandert: AI Act (1/4)

    De Europese Commissie heeft op 19 november 2025 een pakket aan wijzigingen gepresenteerd om de regels voor het digitale domein te vereenvoudigen, ook wel Digital Omnibus genoemd. In deze korte…