Op 19 november 2025 publiceerde de Europese Commissie haar voorstel voor de zogenaamde “Digital
Omnibus”. Maar wat houdt dit omvangrijke en ambitieuze voorstel precies in?

Het voorstel “Digital Omnibus” vormt een samenvoeging van diverse, inhoudelijk uiteenlopende
elementen inzake digitale technologie en heeft tot doel enkele kernpijlers van de digitale EU-
regelgeving te herzien en te harmoniseren, in het bijzonder de Data Act, de GDPR en de AI Act.
De belangrijkste drijfveren achter dit initiatief zijn het vereenvoudigen van overlappende regelgeving,
het verminderen van administratie voor ondernemingen en het vergroten van de rechtszekerheid
binnen de Europese Unie.

Een eerste opvallend element is dat de Europese Commissie bepaalde principes uit de rechtspraak van
het Hof van Justitie probeert te codificeren. Zo wordt onder meer de definitie van “persoonsgegevens”
uit rechtspraak (o.a. het SRB-, GAR- en Nowak-arrest) expliciet in het voorstel opgenomen. Deze poging
tot verduidelijking is op zich toe te juichen: het biedt immers meer rechtszekerheid voor zowel
betrokkenen als verwerkingsverantwoordelijken.

Daarnaast schuift de Europese Commissie een ambitieuzere — en controversiëlere — hervorming naar
voren: ruimere mogelijkheden om AI-systemen te trainen op basis van persoonsgegevens.
Deze stap past in de bredere strategie om de Europese Unie competitief te houden op het vlak van
artificiële intelligentie, doch raakt het aan een van de meest gevoelige GDPR-vraagstukken:
grootschalige verwerking van persoonsgegevens en de rechtmatigheid daarvan. De vraag rijst dan ook of
deze verruiming in haar huidige vorm zal worden aangenomen.

Het voorstel bevat ook een verlenging van de meldtermijn van datalekken met een potentieel hoog risico
van 72 naar 96 uur. Deze verlenging sluit onzes inziens beter aan bij de praktische haalbaarheid van de
naleving van deze termijn.

Een opvallende nieuwigheid is de voorgestelde centralisatie van meldingen en klachten bij één
overkoepelend contactpunt, ongeacht of het bijvoorbeeld gaat om een GDPR-, eIDAS- of een NIS2-
melding. Bovendien zouden klachten en meldingen niet langer naar de Belgische
Gegevensbeschermingsautoriteit gaan, maar naar een EU-overkoepelend orgaan dat klachten en
meldingen tussen lidstaten coördineert.
Moest deze wijziging worden doorgevoerd, zijn wij alleszins zeer benieuwd naar de praktische uitvoering
van deze stroomlijning en of deze verschuiving werkelijk tot een efficiëntere handhaving zal leiden.

Tenslotte is het belangrijk om te benadrukken dat voorlopig alles bij het oude blijft. Het voorstel moet
nog passeren langs het Europees Parlement en de Raad, waarna onderhandelingen volgen.
Zelfs als de Digital Omnibus in deze of aangepaste vorm wordt goedgekeurd, is de kans groot dat veel
wijzigingen in de dagelijkse praktijk weinig zullen veranderen. De kernverplichtingen uit de GDPR blijven
immers overeind.

Het blijft dan ook cruciaal om naar GDPR-compliance binnen uw organisatie te streven. Wij begeleiden
ondernemingen daarbij via een helder stappenplan, pragmatische adviezen en een realistische tijdslijn.

Wenst u meer te weten over GDPR-verplichtingen of nieuwe Europese regelgevende initiatieven?
Neem gerust contact op met onze experts technologie en design.