De voorbije jaren kwam de ene Europese wet na de andere op ondernemingen af. GDPR, ePrivacy, DSA, DMA, NIS2, AI Act, Data Act… Het tempo ligt hoog, de inhoud is complex en de impact groot. Ondernemers en organisaties moeten zich vandaag een weg banen door een kluwen van digitale regels, richtlijnen en interpretaties. Wie durft nog met zekerheid zeggen dat hij volledig in orde is?
Wel, blijkbaar beseft ook de Europese Commissie intussen dat het digitale regelgevend kader te ingewikkeld is geworden. En dus komt er een ‘opkuisoperatie’. Die operatie heet de Digital Omnibus, een grootschalig wetgevend initiatief dat bestaande Europese regels moet stroomlijnen, administratieve lasten verlagen en innovatie opnieuw zuurstof geven. Dat is althans de bedoeling.
In deze blog leggen we uit wat de Digital Omnibus juist inhoudt, wat ons bij Sirius Legal in het oog springt qua veranderingen, en waar het volgens ons fout dreigt te lopen.
Wat is de Digital Omnibus precies?
De Digital Omnibus is geen nieuwe wet, maar een pakket aanpassingen aan bestaande Europese regels zoals de GDPR, de ePrivacy-richtlijn en de AI Act. De bedoeling is om de verschillende regels beter op elkaar af te stemmen, eenvoudiger te maken en werkbaarder voor bedrijven, vooral kmo’s. Eind 2025 werd het voorstel officieel ingediend. Het wetgevend proces zit nog in een vroeg stadium.
Gezien de politieke realiteit, met oorlog aan de rand van Europa, druk op de energieprijzen en verkiezingen op komst, is het weinig waarschijnlijk dat dit dossier in 2026 nog wordt afgerond. De Commissie zelf heeft nog tot minstens het voorjaar nodig om haar bredere ‘Digital Fitness Check’ af te ronden. De effectieve inwerkingtreding van de Digital Omnibus wordt dus ten vroegste in 2027 verwacht.
De impact van de Digital Omnibus op jouw onderneming
De Digital Omnibus klinkt abstract, maar raakt aan heel concrete aspecten van je dagelijkse werking. Dit zijn de belangrijkste wijzigingen die ons in het oog springen:
- Afschaffing van het verwerkingsregister voor KMO’s
Kleine ondernemingen zouden geen verwerkingsregister meer moeten bijhouden. Dat lijkt een administratieve opluchting, maar je verliest daarmee ook het enige interne instrument dat je verplicht om bewust om te gaan met persoonsgegevens. Zonder dat register verlies je het overzicht en sta je bij een datalek of controle met lege handen. We gaven hierover al eens uitgebreid onze mening, dat kan je lezen in de blog “Vereenvoudiging GDPR: gaat het verwerkingsregister voor kleine organisaties op de schop?”
- Browser-gebaseerde toestemming voor cookies
Onder het motto “minder banners, meer gebruiksgemak” wil de EU de cookie-ervaring op websites vereenvoudigen, zowel voor gebruikers als voor bedrijven. Gebruikers zouden rechtstreeks in hun browser kunnen instellen welke soorten cookies ze weigeren. In de praktijk betekent dit dat standaard álle marketing- en analyticscookies geblokkeerd worden, nog voor je eigen website iets kan vragen of uitleggen. Resultaat: je riskeert essentiële inzichten in bezoekersgedrag, conversies en campagnes te verliezen. Meer info over deze vernieuwde cookie-ervaring kan je lezen in onze blog “De EU pleit voor “browser based cookie consent.
- Gebruik van gevoelige data voor AI-innovatie
In bepaalde gevallen zouden gevoelige persoonsgegevens mogen worden gebruikt voor AI-toepassingen, zonder toestemming. Dat klinkt als ruimte voor innovatie, maar vereist een onderbouwde risicoanalyse, technische en organisatorische maatregelen en duidelijke communicatie. Zonder dat alles blijf je in overtreding.
- Verbreding van het begrip “wetenschappelijk onderzoek”
Ook commercieel onderzoek, zoals marktanalyses of productontwikkeling, zou onder de noemer ‘wetenschappelijk onderzoek’ vallen. Je moet dan geen toestemming meer vragen, maar je blijft wel gebonden aan de principes van proportionaliteit, transparantie en dataminimalisatie.
- Marketingmails na gratis downloads
Bedrijven zouden ook marketingmails mogen sturen naar mensen die enkel iets gratis hebben gedownload. De voorwaarde blijft dat je duidelijk informeert en een gemakkelijke opt-out voorziet, en dat je communicatie beperkt blijft tot gelijkaardige producten of diensten.
De rode draad is duidelijk. De regels lijken soepeler, maar je moet meer dan ooit zelf onderbouwen wat je doet. Minder papierwerk betekent dus niet minder verantwoordelijkheid.
De gevaren van de Digital Omnibus: waar wringt het schoentje?
Bij Sirius Legal begeleiden wij dagelijks klanten bij het uitwerken en naleven van hun data protection beleid. We doen dat voor webshops en adverteerders, maar evengoed voor industriële kmo’s, ziekenhuizen, steden en non-profits. Vanuit die praktijk zien we dat veel van de voorgestelde versoepelingen vooral op papier bestaan.
Neem nu het afschaffen van het verwerkingsregister. Het is precies dat soort verplichting dat bedrijven verplicht om hun datastromen in kaart te brengen. Schrappen we dat, dan verdwijnt ook het enige interne signaal dat data geen vanzelfsprekendheid is. Voor veel organisaties is dit het begin van het einde van hun compliance.
Ook het idee van browsergebaseerde toestemming is nefast. Je duwt alle gebruikers in dezelfde standaardinstelling, zonder dat ze via jouw site nog een bewuste keuze kunnen maken. De cookiebanner gaat misschien deels verdwijnen, maar daarmee ook je inzichten, je controle en je contact met je publiek. Zeker voor kleinere spelers die geen grote first-party data infrastructuur hebben, is dit een bedreiging.
En nu? Wat is de status van het wetgevingsproces in 2026?
De voorstellen liggen vandaag nog op de onderhandelingstafel. Het gaat om ontwerpteksten van de Commissie, die de komende maanden besproken worden door het Europees Parlement en de Raad. Zoals bij elke Europese wetgeving volgen daarna nog de trilogen, waarin compromissen gezocht worden tussen de instellingen. Er is dus nog ruimte voor bijsturing.
Belangrijk om te weten is dat heel wat vakorganisaties, sectorfederaties en belangenverenigingen in verschillende lidstaten dezelfde bedenkingen formuleren. De kritiek op het afschaffen van de verwerkingsregisters, het risico van browsergebaseerde toestemming of de vrees voor uitholling van accountability komt terug in adviezen, position papers en publieke tussenkomsten van experten en bedrijfskoepels.
De kans bestaat dus dat bepaalde voorstellen worden afgezwakt, genuanceerd of zelfs geschrapt. Maar daar mag je als onderneming niet op wachten. Wie vandaag strategisch met data werkt, doet er goed aan om nu al vooruit te denken. Niet om af te wachten wat Europa beslist, maar om voorbereid te zijn op élk scenario. Want wat ook verandert, jouw verantwoordelijkheid blijft.
Hoe kan je je voorbereiden op de Digital Omnibus?
De voorgestelde hervormingen komen er niet morgen, maar dat betekent niet dat je rustig kan stilzitten. Dit is hét moment om je aanpak rond data protection stevig tegen het licht te houden. Enkele heel concrete tips:
- Ga er niet zomaar van uit dat regels soepeler worden en wees kritisch voor euforische headlines over het einde van cookiebanners of ‘minder GDPR’
- Blijf actief werken aan GDPR-compliance en hou de lat hoog, zeker op vlak van gegevensbescherming en cyberveiligheid
- Stel je data governance kritisch in vraag en actualiseer je beleid, rollen, risicoanalyse en verwerkingsregister
- Zorg dat je interne teams, van marketing tot HR, begrijpen wat er op het spel staat en waar ze moeten op letten
- Documenteer vandaag wat je morgen moet kunnen aantonen, want de bewijslast ligt steeds vaker bij jouw organisatie
- Volg het debat via ons of via je sectorfederatie, zodat je op tijd weet wat er verandert en wanneer precies
Hulp nodig bij je GDPR-beleid?
Bij Sirius Legal volgen we de Digital Omnibus en alle evoluties binnen data protection van nabij op. Heb je vragen over de impact voor jouw organisatie of wil je weten hoe je je beleid toekomstbestendig maakt? Boek dan gerust een vrijblijvend kennismakingsgesprek via de link hiernaast. We denken graag met je mee!