GDPR-hervorming in 2025? Vereenvoudiging van administratieplichten en harmonisatie van EU-digitale regels

De Europese Commissie streeft ernaar om bureaucratie te verminderen en de administratieve en complianceverplichtingen te verlichten. In 2025 staat zelfs de baanbrekende GDPR – lang beschouwd als onaantastbaar – gepland voor een vereenvoudiging binnen dit kader.

De Europese Commissie plant een "bureaucratie-vermindering" van de GDPR
Begin 2025 gaf de Europese Commissie aan de Algemene Verordening Gegevensbescherming (GDPR) te willen vereenvoudigen als onderdeel van een bredere inspanning om de Europese concurrentiekracht te versterken door regelgevende lasten te verminderen. Het team van Commissievoorzitter Ursula von der Leyen lanceerde verschillende "Omnibus"-pakketten om EU-regels te stroomlijnen, als reactie op kritiek dat complexe wetten zoals de GDPR innovatie en bedrijfsgroei belemmeren. Een opvallend rapport van voormalig Italiaans premier Mario Draghi uit eind 2023 waarschuwde dat te ingewikkelde regelgeving – "de GDPR en andere belastende regels" – de EU-economie ervan weerhield om effectief te concurreren met de VS en China. Nu, in wat het Vierde Omnibus-pakket wordt genoemd, stelt Brussel gerichte wijzigingen in de GDPR voor, met name gericht op administratieve vereenvoudiging voor kleinere bedrijven.

Commissaris voor Justitie Didier Reynders (en zijn opvolger, Commissaris Michael McGrath, in 2025) benadrukte dat dit initiatief zich zal "richten op rapportageverplichtingen voor organisaties met minder dan 500 werknemers", terwijl "de onderliggende kerndoelstellingen van het GDPR-regime" behouden blijven. Met andere woorden: het doel is om compliance voor mkb-bedrijven te vergemakkelijken zonder de fundamentele rechten op gegevensbescherming aan te tasten. "We moeten het bedrijven makkelijker maken om te voldoen... We hoeven niet op een domme manier te reguleren," zei Deens Digitaal Minister Caroline Olsen, wat de pro-business insteek van de hervorming onderstreept. Het hervormingsvoorstel zou in mei 2025 worden gepresenteerd als onderdeel van de EU-agenda voor concurrentievermogen.

Over het verhogen van drempels en het verminderen van papierwerk
Het ontwerp voor de GDPR-wijziging (6 mei 2025) is beperkt tot artikel 30(5) – de bepaling over administratieplichten (Registers van Verwerkingsactiviteiten, of RoPA). Het introduceert verschillende wijzigingen die bedoeld zijn om de documentatieverplichtingen voor kleinere organisaties te verlichten:

• Hogere werknemersdrempel voor RoPA: De vrijstelling van het bijhouden van verwerkingsregisters, momenteel geldend voor entiteiten met minder dan 250 werknemers, zou worden uitgebreid tot bedrijven met maximaal 500 werknemers (soms "kleine mid-cap bedrijven" genoemd) en non-profitorganisaties onder de 500 werknemers. Dit vergroot aanzienlijk het aantal organisaties dat ontheven is van routinematige administratieplichten.
• Strengere focus op hoogrisico-verwerking: Het voorstel scherpt de risicocriteria aan die de vrijstelling van administratieplichten tenietdoen. Onder de huidige GDPR moet zelfs een bedrijf met minder dan 250 werknemers registers bijhouden als de verwerking "waarschijnlijk een risico" oplevert voor de rechten van betrokkenen, niet incidenteel is, of speciale categorieën gegevens of strafrechtelijke gegevens betreft. De hervorming verandert deze trigger in verwerking die "waarschijnlijk een hoog risico" oplevert, waardoor de drempel voor het verplicht bijhouden van registers voor kleine entiteiten wordt verhoogd. In de praktijk betekent dit dat alleen significantere of gevoeligere verwerkingsactiviteiten (die een hoog risico vormen) documentatie vereisen van organisaties met minder dan 500 werknemers.
• Verwijdering van de "incidentele verwerking"-clausule: De huidige regel vrijwaart niet van administratieplichten als de gegevensverwerking niet incidenteel is (d.w.z. als het regelmatig of frequent is, zijn registers vereist ongeacht de grootte van het bedrijf). Het ontwerp schrapt deze voorwaarde. Door het "incidenteel"-criterium te laten vallen, zal de wet niet langer automatisch registers verplichten voor reguliere dagelijkse verwerking door een klein bedrijf, zolang die verwerking niet aan de hoog-risico drempel voldoet.
• Verduidelijking van uitzonderingen voor speciale gegevens: Momenteel kan het gebruik van speciale categorieën gegevens (gevoelige gegevens zoals gezondheid, ras, enz.) of strafrechtelijke gegevens een bedrijf ook diskwalificeren voor de vrijstelling van administratieplichten. De hervorming lijkt dit in beperkte gevallen te versoepelen: een nieuwe overweging zal verduidelijken dat de verwerking van speciale categorieën gegevens om te voldoen aan een wettelijke verplichting op het gebied van arbeidsrecht, sociale zekerheid of sociale bescherming geen administratieplicht zal triggeren. Bijvoorbeeld, een klein bedrijf dat gezondheidsgegevens van werknemers verwerkt om te voldoen aan arbeidswetten, kan nog steeds profiteren van de vrijstelling van administratieplichten onder de herziene regel.
• Deze wijzigingen zijn bedoeld om administratieve taken te stroomlijnen zonder de privacybescherming aan te tasten. Cruciaal is dat elke organisatie – ongeacht de grootte – nog steeds registers moet bijhouden voor verwerkingen die waarschijnlijk een hoog risico vormen (bijv. verwerkingen die een Data Protection Impact Assessment vereisen). De Commissie heeft benadrukt dat de kernprincipes van de GDPR (zoals rechtmatigheid, transparantie, rechten van betrokkenen, beveiliging, enz.) ongewijzigd blijven. Alleen de administratieve last wordt verminderd. Zoals een analyse het verwoordde: de EU "vereenvoudigt de GDPR-administratieplichten voor organisaties met minder dan 500 werknemers, terwijl de kernprincipes van gegevensbescherming behouden blijven"..

EDPB en EDPS reageren met voorzichtige steun
Op 8 mei 2025 hebben de European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) – de belangrijkste privacytoezichthouders van de EU – een gezamenlijke brief uitgebracht als reactie op het ontwerp van de Commissie. Hun standpunt kan worden samengevat als "voorlopige steun, met voorbehouden".

De EDPB en EDPS verwelkomen de intentie om de administratieplichten te vereenvoudigen en erkennen dat het voorstel een "gerichte vereenvoudigingsinitiatief" is dat andere GDPR-verplichtingen niet ondermijnt. Zij vinden het redelijk om de compliance voor kleinere spelers te verlichten, zolang de kernwaarborgen intact blijven. In het bijzonder "verwelkomen zij dat de verplichting om registers bij te houden in elk geval nog steeds vereist is voor verwerkingen die 'waarschijnlijk een hoog risico' vormen", en prijzen het ontwerp voor het behouden van een risico-gebaseerde aanpak. Dit betekent dat zelfs als een bedrijf minder dan 500 werknemers heeft, het geen documentatie mag overslaan voor verwerkingen die aanzienlijke privacyrisico's met zich meebrengen – een punt dat de gegevensbeschermingsautoriteiten belangrijk vinden.

De EDPB/EDPS brengen echter ook enige voorzichtigheid en voorwaarden naar voren. Zij "benadrukken dat zelfs zeer kleine bedrijven nog steeds hoog-risico verwerkingen kunnen uitvoeren" en waarschuwen dat ogenschijnlijk eenvoudige activiteiten onder bepaalde omstandigheden fundamentele rechten kunnen aantasten. Zij benadrukken het belang van een duidelijke definitie van "hoog risico" (verwijzend naar bestaande richtlijnen over DPIA's) en merken op dat het verwijderen van de "incidentele verwerking"-clausule niet betekent dat die activiteiten geen risico met zich meebrengen. In wezen willen de toezichthouders ervoor zorgen dat er geen lacunes ontstaan die ertoe leiden dat risicovolle verwerkingen ongedocumenteerd blijven.

De brief roept de Commissie ook op om de impact van de hervorming beter te onderbouwen en te analyseren. De EDPB/EDPS vragen om gegevens over "het aantal bedrijven en organisaties dat hiervoor in aanmerking komt" en een beoordeling van hoe de verandering de algehele gegevensbeschermingsniveaus kan beïnvloeden. Deze analyse is volgens hen nodig om te bevestigen dat de wijziging een "evenredig en eerlijk evenwicht" vindt tussen het verminderen van de lasten voor bedrijven en het waarborgen van persoonsgegevens. De privacytoezichthouders geven dus een voorwaardelijk groen licht: steun voor het verminderen van bureaucratie voor mkb-bedrijven, mits de risico-gebaseerde beschermingen robuust blijven en bewijs aantoont dat de balans juist is.

(Opmerkelijk is dat het formele wetsvoorstel begin mei nog niet was gepubliceerd, waardoor de brief van de EDPB/EDPS een voorlopig advies is. Een volledige raadpleging zal plaatsvinden zodra het ontwerp van de wet officieel is uitgebracht.)

Een blik op het bredere (vereenvoudigde) plaatje: Omnibus-pakketten
Deze GDPR-aanpassing is onderdeel van een groter geheel. De Commissie-Von der Leyen is een breder project gestart om EU-wetgeving te vereenvoudigen, waarbij wijzigingen worden gebundeld in zogenaamde "Omnibus"-pakketten. De hervorming van de administratieplichten maakt expliciet deel uit van het Vierde Omnibus-pakket in mei 2025. Eerdere Omnibus-pakketten (gelanceerd in februari 2025) richtten zich op gebieden zoals duurzaamheidsrapportage en due diligence door bedrijven, waarbij voornamelijk verplichtingen voor kleinere bedrijven werden teruggeschroefd. Het gemeenschappelijke doel is om "de administratieve lasten met 25% te verminderen, en met 35% voor mkb-bedrijven, tegen het einde van [2029]".

Binnen de digitale regelgevingsfeer kondigde het Werkprogramma van de Commissie voor 2025 ook een uitgebreide "fitness check" van de digitale wetgeving en een "Digital Package" later in 2025 aan, om wetten zoals de GDPR, Data Act, Data Governance Act, Cybersecurity Act, AI Act, enz. te beoordelen op coherentie en vereenvoudiging. In deze context kan de bescheiden GDPR-hervorming op het gebied van administratieplichten worden gezien als een eerste stap naar het bijwerken en harmoniseren van de digitale regelgeving van de EU. Het sluit aan bij de Competitiveness Agenda van de Commissie en de aanbevelingen van Draghi om regels die als overlappend of onevenredig worden beschouwd, terug te dringen.

Waarnemers hebben opgemerkt dat de politiek rond het heropenen van de GDPR delicaat is. De GDPR was een mijlpaalwet; zelfs een kleine aanpassing kan lobbygevechten over bredere kwesties uitlokken. De Commissie heeft deze hervorming zorgvuldig omschreven als een "gerichte wijziging" en niet als een volledige herziening, waarschijnlijk om een doos van Pandora te vermijden. Tot nu toe lijkt er algemene steun te zijn onder EU-instellingen voor het verminderen van bureaucratische verplichtingen voor eerlijke kleine bedrijven, vooral in het licht van klachten dat de complexe Europese regelgeving lokale startups verstikt. Zoals een privacyjurist opmerkte, streeft het voorstel ernaar "de compliance-lasten voor bepaalde organisaties te verlichten, terwijl de kernprivacywaarborgen behouden blijven" – een politiek aanvaardbare balans. Het Omnibus 4-pakket maakt dus deel uit van een verhaal dat Europa papierwerk kan verminderen zonder de privacy te schaden, en toont een genuanceerde aanpak van regelgevingskwaliteit boven kwantiteit.

Overlappende kaders en regelgevings"inflatie"

Het debat over de GDPR-hervorming vindt plaats tegen de achtergrond van "regelgevingsinflatie" in de digitale economie van de EU – een proliferatie van nieuwe regels die online content, mededinging, AI en meer aanpakken. In de afgelopen jaren heeft de EU meerdere grote kaders ingevoerd of opgesteld naast de GDPR, waaronder de Digital Services Act (DSA), Digital Markets Act (DMA), Artificial Intelligence Act en pogingen tot een ePrivacy-verordening. Deze stroom van wetgeving, hoewel bedoeld om verschillende kwesties aan te pakken, heeft geleid tot zorgen over overlappende verplichtingen en compliance-complexiteit:

• Digital Services Act (DSA) & Digital Markets Act (DMA): Deze wetten uit 2022 leggen verplichtingen op aan online platforms (DSA) en "poortwachter"-techreuzen (DMA). Hoewel hun focus niet specifiek op gegevensbescherming ligt, voegen ze lagen van compliance toe (zoals contentmoderatieprocessen, eerlijke mededingingsregels) die raakvlakken hebben met gegevensverwerking. Beleidsmakers waarschuwen dat de implementatie van DSA/DMA "de administratieve complexiteit en juridische ambiguïteit die gepaard gaan met de GDPR" moet vermijden. Met andere woorden: Europa wil ervoor zorgen dat de nieuwe platformregels niet per ongeluk GDPR-achtige lasten of conflicten recreëren. (Bijvoorbeeld, zowel DSA als GDPR gaan over transparantie – DSA voor content en advertenties, GDPR voor persoonsgegevens – en toezichthouders moeten ervoor zorgen dat de handhaving consistent is.) Overlap is ook een praktische zorg: een groot platform kan tegelijkertijd worden geaudit onder DSA en worden onderzocht onder GDPR, dus coördinatie is essentieel om onnodige dubbel werk te voorkomen.

• AI Act: De aankomende Artificial Intelligence Act zal regels introduceren voor AI-systemen (zoals risicobeoordelingen, datatransparantie, menselijk toezichtvereisten). Overlap met de GDPR wordt expliciet erkend: de AI Act reguleert AI-systemen, terwijl de GDPR persoonsgegevens reguleert – maar AI maakt vaak gebruik van persoonsgegevens. Om dubbele regulering te voorkomen, suggereert deskundigen om de grenzen te verduidelijken, zodat naleving van het ene regime niet in strijd is met het andere. De EDPB zelf heeft geadviseerd om regelgevingsoverlappingen met de AI Act te elimineren om "EU-bedrijven die AI ontwikkelen" niet te straffen, en opgemerkt dat de GDPR al veel aspecten van gegevensbescherming die relevant zijn voor AI dekt. Bijvoorbeeld, een AI-bedrijf dat persoonsgegevens verwerkt, zou nog steeds GDPR-principes (zoals rechtmatige grondslag, dataminimalisatie) moeten volgen, naast eventuele AI Act-normen; toezichthouders willen ervoor zorgen dat deze eisen op elkaar aansluiten in plaats van conflicterende eisen op te stapelen.

• ePrivacy-verordening: Een lang geplande zusterwet van de GDPR, bedoeld om specifiek de privacy van elektronische communicatie (zoals cookies, vertrouwelijkheid van berichten, enz.) te reguleren, is sinds 2017 vastgelopen in wetgevingspatstelling.

 


Het werd begin 2025 ingetrokken zonder aanname, omdat EU-wetgevers hun focus verlegden naar andere instrumenten. Dit laat de oude ePrivacy-richtlijn uit 2002 van kracht, aangevuld met de GDPR en de nieuwere digitale wetten. Het falen van de ePrivacy-verordening weerspiegelt deels "regelgevingsmoeheid" – de EU had te veel overlappende initiatieven. Sommige aspecten van ePrivacy (zoals cookie-regels) worden nu behandeld via een mix van GDPR (bijv. toestemmingsvereisten) en de DSA-bepalingen voor online platforms, maar het ontbreken van een specifieke, bijgewerkte wet resulteert in een gefragmenteerd landschap. De vereenvoudigingsagenda van de Commissie erkent impliciet deze overbelasting: in plaats van nog een complexe verordening toe te voegen, is de strategie om bestaande regels te stroomlijnen. Elementen van de ePrivacy-doelstellingen kunnen op een meer geharmoniseerde manier terugkeren via de bredere digitale fitness check, zodat privacy in communicatie wordt aangepakt zonder nog een afzonderlijk regelboek te creëren.

Het bestaan van meerdere kaders heeft ongetwijfeld de compliance-werkdruk verhoogd – een fenomeen dat soms het "Brusselse effect" met twee kanten wordt genoemd: hoewel het hoge normen wereldwijd exporteert, creëert het ook een dicht web van regels thuis. Zelfs binnen de GDPR zelf heeft inconsistente handhaving tussen lidstaten geleid tot fragmentatie en juridische onzekerheid. De huidige hervorming kan worden gezien als een reactie op deze kritiek, door een interne GDPR-verplichting (RoPA) te vereenvoudigen om het leven gemakkelijker te maken voor kleinere actoren, terwijl het de noodzaak suggereert om de regelgeving beter op elkaar af te stemmen. Door nu één stuk van de puzzel te vereenvoudigen, test de EU mogelijk de wateren voor het afstemmen van andere regelgeving in de toekomst. Zoals een analyse suggereert, zal het echt verbeteren van het digitale regelgevingsklimaat van de EU vereisen dat "overlappende, onnodige of onevenredige regels" in het algemeen worden aangepakt, niet alleen binnen de GDPR.

Een blik op een geharmoniseerde en mkb-vriendelijke digitale regelgeving?

Het GDPR-hervormingsvoorstel voor 2025, hoewel beperkt in omvang, heeft symbolische waarde. Het vertegenwoordigt de bereidheid van de EU om privacy en pragmatisme in evenwicht te brengen. Voor startups en middelgrote bedrijven kan het verhogen van de RoPA-drempel naar 500 werknemers en het beperken van administratieplichten tot hoog-risico gevallen de dagelijkse compliance-kosten aanzienlijk verminderen. Deze pragmatische, risico-gebaseerde verlichting is verwelkomd door de zakelijke gemeenschap, die betoogt dat middelen die nu aan administratieve taken worden besteed, beter kunnen worden gebruikt voor innovatie – zonder de privacy van individuen in gevaar te brengen. Door de verplichtingen voor kleinere bedrijven te vereenvoudigen, zet de EU een "positieve stap naar een evenrediger kader", zoals commentatoren hebben opgemerkt.

Belangrijk is dat deze stap wordt gezet zonder de kernprincipes van de GDPR los te laten. De hervorming raakt fundamentele rechten niet aan en verzwakt de handhaving tegen ernstige misbruiken niet. Het is een chirurgische aanpassing die trouw blijft aan de geest van de GDPR (bescherming van persoonsgegevens), terwijl enkele bureaucratische lasten worden weggenomen. In die zin zet het een precedent: toekomstige EU-digitale wetgeving kan ook worden afgestemd op de grootte en het risicoprofiel van organisaties. Inderdaad, Commissaris McGrath presenteerde de GDPR-wijziging als onderdeel van een "heel scala aan vereenvoudigingsmaatregelen" gericht op het verbeteren van de concurrentiekracht van de Europese economie.

Vooruitkijkend hopen velen dat deze hervorming slechts de eerste stap is naar een meer coherente digitale regelgevingsomgeving. Naarmate nieuwe wetten zoals de AI Act van kracht worden, staat de EU voor de uitdaging om deze te integreren met de GDPR en met elkaar. Een geharmoniseerde aanpak – waarbij overlappingen worden geminimaliseerd en regels worden gestroomlijnd – zou helpen om te voorkomen dat regelgevingsinflatie bedrijven verstikt. Het GDPR-administratievoorstel toont aan dat de EU zich bewust is van deze zorgen en bereid is om bij te sturen. Hoewel privacyvoorstanders zorgvuldig zullen toezien dat de gegevensbescherming niet wordt uitgehold, is de algemene toon optimistisch dat slimme vereenvoudiging een "win-win" kan zijn: compliance haalbaarder maken voor eerlijke bedrijven (met name mkb's) en het algehele kader effectiever maken door de focus te leggen op wat echt belangrijk is (hoog-risico en hoog-impact verwerking).

Samenvattend ligt het GDPR-hervormingsinitiatief voor 2025 op het snijvlak van privacy en concurrentievermogen. Het erkent dat na bijna 7 jaar GDPR een one-size-fits-all-benadering misschien niet optimaal is in het evoluerende digitale landschap. Door de RoPA-drempel te verhogen en verplichtingen te verduidelijken, streeft de EU ernaar om bureaucratie te verminderen terwijl robuuste privacy-normen worden gehandhaafd. Als deze gematigde hervorming succesvol is, kan het de weg effenen voor betere afstemming tussen de digitale wetten van Europa – van gegevensbescherming tot AI en verder – en het leven gemakkelijker maken voor compliant bedrijven en toezichthouders. Het is een zorgvuldige koers naar een vereenvoudigd, geharmoniseerd en toekomstbestendig EU-digitaal regelgevingskader.

Hoe Anove deze verandering ondersteunt?
Bij Anove omarmen we de geest van regelgevingsvereenvoudiging door intelligente compliance-oplossingen aan te bieden die zich aanpassen aan evoluerende wetgevende landschappen. We helpen organisaties hun GDPR-inspanningen te stroomlijnen door de administratieve last die traditioneel gepaard gaat met het bijhouden van documentatie, rapportage en controles te minimaliseren. Door aan te sluiten bij de EU-push om onnodige bureaucratie te verminderen, draagt Anove bij aan het mitigeren van het zogenaamde



"Brusselse effect" – de opeenstapeling van overlappende, vaak belastende verplichtingen. Ons platform integreert de vereisten van belangrijke kaders zoals de GDPR, EU AI Act en Digital Services Act (DSA) in één gestructureerd compliance-proces. Dit stelt onze klanten in staat om kruisregulerende vereisten te beheren via één geïntegreerde aanpak, wat tijd bespaart, consistentie waarborgt en een duidelijker focus op risico en verantwoordingsplicht mogelijk maakt.

Wil je meer lezen? Bekijk onze eerdere artikelen:

• • 
    

    -  Over het rapport van Mario Draghi :
    o “How Companies Can Deal With The Increase Of EU Tech Regulations”

    https://www.anove.ai/blog-posts/how-companies-can-deal-with-the-increase-of-eu-tech-regulations

• o “Over de inflatie van techregelgeving: o "Techregelgeving: Hoe de last voor toezichthouders te verlichten”

  https://www.anove.ai/blog-posts/tech-regulations-how-to-relieve-the-burden-of-supervisory-bodies

  o “Navigating The New Landscape Of EU Tech Regulations: A Call For Homegrown Innovation” https://www.anove.ai/blog-posts/navigating-the- new-landscape-of-eu-tech-regulations-a-call-for-homegrown-innovation

  • -  On the EU AI Act:
    o “EU AI Act – The 5 Key Articles You Need To Know Now! Don’t Miss The 4th One!”

  https://www.anove.ai/blog-posts/eu-ai-act---the-5-key-articles-you-need-to-know-now-dont-miss-the-4th-one

  • -  On coping with administrative burden as a SME:

  o “TheEasiest Way For A Tech CEO To Be Freed From Administrative Burden Of Upcoming Tech Legislations”

  https://www.anove.ai/blog-posts/the-easiest- way-for-a-tech-ceo-to-be-freed-from-administrative-burden-of-upcoming- tech-legislations

  ‍

  Bronnen::

  • European Commission, Draft GDPR simplification proposal (2025) – Art.30(5) amendment, as referenced in EDPB-EDPS letter.
  • EDPB & EDPS, Joint Letter on GDPR Record-Keeping Simplification, 8 May 2025.
  • Politico EU, “Europe’s GDPR privacy law is headed for red tape bonfire” (Ellen O’Regan, Apr 3, 2025).
  • The Record, "Europa bereidt zich voor om de last van de GDPR te verlichten" (Suzanne Smalley, 7 april 2025)
  • Inside Privacy (Covington), "Europese Commissie bevestigt plannen om GDPR te vereenvoudigen" (17 maart 2025).
  • GamingTechLaw, "EDPB en EDPS geven voorlopige feedback over vereenvoudiging GDPR" (mei 2025)..
  • Lawfare, "Gaat Europa het tempo van digitale regelgeving vertragen?" (oktober 2023) .
  • Cookiebot, statusupdate ePrivacy-verordening (2025).
  • European Commission Press Release, "Commissie stelt voor om bureaucratie te verminderen..." (26 februari 2025).