Brussel werkt aan een Digital Omnibus, een pakket om EU‑regels voor data en digitalisering te stroomlijnen. Het voorstel verschuift de nadruk van ‘toestemming’ naar andere AVG‑grondslagen voor dataverwerking. Dat moet toestemming‑moeheid en eindeloze cookiebanners verminderen en regels duidelijker maken voor bedrijven en overheden. De inzet raakt Europese digitalisering en de gevolgen voor het bedrijfsleven, ook in Nederland.
Minder nadruk op toestemming
De Digital Omnibus moet het gebruik van toestemming minder centraal maken wanneer een andere grondslag beter past. De AVG blijft leidend en ongewijzigd: toestemming is één van zes rechtsgronden naast onder meer overeenkomst, wettelijke plicht, publiek belang en gerechtvaardigd belang. Het pakket wil voorkomen dat organisaties toestemming als afvink‑oefening gebruiken. Zo moet naleving meer gaan over noodzaak, proportie en bescherming.
Toestemming blijft nodig bij ingrijpende of marketinggerichte verwerkingen die niet strikt noodzakelijk zijn. Bij eerste gebruik moet die vrij, specifiek en geïnformeerd zijn, en eenvoudig kunnen worden ingetrokken. Ook bundeling van toestemming met toegang tot een dienst blijft problematisch. Duidelijke informatie en begrijpelijke keuzes zijn daarbij verplicht.
De Omnibus zet sterker in op verantwoordingsplicht. Organisaties moeten uitleggen waarom een verwerking nodig is en welke risico’s zij beperken. Instrumenten als een data protection impact assessment (DPIA) en dataminimalisatie worden belangrijker. Dit moet burgers meer bescherming geven zonder overbodige pop‑ups.
De AVG definieert toestemming als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de betrokkene.
Cookies en advertenties veranderen
Voor cookies blijft de ePrivacy‑regelgeving het startpunt: essentiële cookies mogen, tracking vraagt meestal toestemming. De Digital Omnibus stuurt aan op minder frictie, bijvoorbeeld door standaardinstellingen of eenvoudiger keuzes. Dat moet het aantal bannerschermen omlaag brengen zonder de privacy te verzwakken. Browsers en toestellen kunnen daarbij meer regie geven aan gebruikers.
De Digital Services Act (DSA) verbiedt advertenties op basis van gevoelige data en richt zich op extra bescherming van minderjarigen. Transparantie over waarom iemand een advertentie ziet, is verplicht. Samen met de Omnibus kan dit adtech richting contextuele advertenties duwen. First‑party data en duidelijke voorkeuren van gebruikers worden dan belangrijker.
Voor uitgevers en webshops betekent dit scherper scheiden van noodzakelijke en niet‑noodzakelijke cookies. Consent management‑systemen moeten keuzes eenvoudiger en eerlijker maken. De Autoriteit Persoonsgegevens kan ingrijpen bij misleiding of dark patterns. Op het moment van schrijven zijn ‘cookiewalls’ slechts beperkt toelaatbaar, omdat toestemming dan niet echt vrij is.
Adverteerders zullen hun datastromen moeten reduceren en beter documenteren. Dat vraagt om dataminimalisatie en kortere bewaartermijnen. Ook moet duidelijk zijn welke partijen meelezen en waarom. Dit verlaagt risico’s en kan de laadtijd en gebruikerservaring verbeteren.
Publieke data-uitwisseling groeit
De Omnibus sluit aan op Europese data‑initiatieven zoals de Data Governance Act en de European Health Data Space. In deze kaders is secundair gebruik van data vaak mogelijk zonder individuele toestemming, maar met strenge vergunningen en waarborgen. Denk aan pseudonimisering, loggen van toegang en doelspecifieke licenties. Zo kan onderzoek in zorg, energie en mobiliteit versnellen.
Voor overheden biedt de focus op de publieke taak meer duidelijkheid. Verwerkingen ten behoeve van beleid, toezicht of veiligheid kunnen op die grondslag plaatsvinden, mits proportioneel. Burgers moeten wel goed geïnformeerd worden en recht op inzage en bezwaar houden. Onafhankelijk toezicht blijft onderdeel van het model.
Er liggen ook risico’s, zoals functiekruip en ongewenste profilering. Daarom blijven DPIA’s, versleuteling en strikte toegang tot data noodzakelijk. Europese en nationale toezichthouders moeten consistent interpreteren en handhaven. Dit verkleint verschillen tussen lidstaten en geeft leveranciers zekerheid.
Impact voor Nederlandse bedrijven
Bedrijven in Nederland zullen hun juridische grondslagen opnieuw moeten wegen. Waar nu automatisch om toestemming wordt gevraagd, kan soms een andere basis passender zijn. Dat vergt een legitiem‑belang‑toets en betere uitleg in privacyverklaringen. Het verwerkingsregister en bewaartermijnen moeten daarop aansluiten.
Praktisch betekent dit minder pop‑ups, maar meer documentatie. Teams voor marketing, product en juridische zaken moeten samenwerken. Heldere user‑flows en privacy by design helpen om keuzes eerlijk te maken. Dit verkleint boeterisico’s en verbeterd vertrouwen bij klanten.
Sectorspecifieke regels blijven gelden. In zorg en financiële dienstverlening zijn aanvullende eisen van kracht, zoals striktere beveiliging en auditplichten. Ook NIS2 en de AI‑verordening vragen om aantoonbaar risicobeheer. Bedrijven die algoritmen gebruiken, moeten hun datastromen en herkomst goed borgen.
Voor mkb is de uitdaging vooral uitvoerbaar houden. Standaardtools voor consent, logging en DPIA’s kunnen helpen. Brancheorganisaties kunnen praktische handreikingen bieden. Zo blijft de administratieve last beperkt en de naleving op peil.
Wetgevingsproces en toezicht
De Digital Omnibus doorloopt het normale EU‑traject met Commissie, Parlement en Raad. Daarna volgen mogelijke triloogonderhandelingen en een overgangstermijn. Op het moment van schrijven is de precieze timing nog onduidelijk. Implementatie zal stapsgewijs plaatsvinden, met ruimte voor richtsnoeren.
De Autoriteit Persoonsgegevens en de Europese Toezichthouder voor gegevensbescherming krijgen een prominente rol in interpretatie. Nieuwe EDPB‑guidance moet zorgen voor eenduidigheid tussen lidstaten. Rechters van het Hof van Justitie kunnen knelpunten verduidelijken. Dit beperkt juridische onzekerheid voor ontwikkelaars en marketeers.
Organisaties doen er goed aan nu al hun verwerkingen in kaart te brengen. Verminder dataverzameling tot wat echt nodig is, en kies een passende rechtsgrond. Versterk beveiliging en leg keuzes vast voor audits. Zo zijn bedrijven klaar zodra de Europese digitalisering nieuwe regels in werking laat treden.