Eind mei heeft de Europese Commissie een voorstel gepresenteerd dat de regels uit de AVG zou kunnen versoepelen. De aanpassing komt voort uit zorgen over de praktische uitvoerbaarheid van de regels en de administratieve lasten voor bedrijven. De nieuwe drempel van 750 medewerkers biedt ruimte voor vereenvoudiging, maar vraagt om scherp datamanagement en juridische coördinatie bij groei.
Focus op verlichting lasten voor SMC’s
Met het Vierde Omnibus-pakket wil de Europese Commissie administratieve procedures vereenvoudigen en jaarlijks € 400 miljoen aan lasten voor bedrijven besparen. Een belangrijk onderdeel van dit pakket is de introductie van een nieuwe categorie: kleine midcap-ondernemingen (SMC’s). Deze bedrijven, met minder dan 750 werknemers en een jaaromzet tot € 150 miljoen of een balanstotaal tot € 129 miljoen, vallen voortaan naast de klassieke SME’s (kmo’s) onder specifieke vereenvoudigingsmaatregelen. Met het voorstel lijkt voor het eerst serieus ruimte te ontstaan voor heroverweging van delen van de Europese privacywetgeving die sinds 2018 van kracht is.
Verwerkingsregister
Artikel 30 AVG bepaalt dat verwerkingsverantwoordelijken en verwerkers een register van verwerkingsactiviteiten moeten bijhouden. Dit houdt in dat organisaties intern documenteren welke persoonsgegevens zij verwerken, voor welke doeleinden, hoe lang deze worden bewaard en met wie deze gegevens worden gedeeld.
Voor SME’s met minder dan 250 werknemers geldt momenteel al een uitzondering, tenzij de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, niet incidenteel is, of bijzondere categorieën persoonsgegevens betreft.
De Commissie stelt nu voor om deze uitzondering te verduidelijken en uit te breiden:
- De uitzondering zou ook moeten gelden voor SMC’s met minder dan 750 werknemers.
- De verplichting tot het bijhouden van een register zou alleen van toepassing zijn wanneer de verwerking waarschijnlijk een “hoog risico” inhoudt voor de rechten en vrijheden van betrokkenen zoals bedoeld in artikel 35 AVG (Gegevensbeschermingseffectbeoordeling), of wanneer bijzondere categorieën gegevens worden verwerkt. Belangrijk is dat het voorstel expliciet stelt dat de verwerking van bijzondere categorieën persoonsgegevens in het kader van arbeidsrecht of sociale zekerheid op zichzelf géén aanleiding hoeft te zijn voor het bijhouden van een register.
Gedragscodes en certificering
Naast artikel 30 worden ook artikelen 40 en 42 van de AVG aangepast. Deze verplichtingen voor gedragscodes en certificering gelden straks ook voor SMC’s, zodat hun behoeften worden meegenomen.
Reactie van toezichthouders
Op 8 mei 2025 hebben de European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) gezamenlijk een brief verzonden aan de Commissie over het voorstel. In deze brief werd voorlopige steun uitgesproken voor de gerichte wijziging van artikel 30(5) AVG, op voorwaarde dat overige verplichtingen onder de AVG behouden blijven. Daarbij werd het belang onderstreept van een zorgvuldige impactanalyse en aangegeven dat de verplichting tot het bijhouden van een verwerkingsregister blijft gelden voor verwerkingen met een waarschijnlijk hoog risico voor de rechten en vrijheden van betrokkenen. In de brief werd nog gerefereerd aan een drempel van 500 werknemers, terwijl in het uiteindelijke voorstel een grens van 750 werknemers is vastgesteld.
Operationele impact van versoepeling: wat legal teams moeten weten
De voorgestelde wijziging breidt de vrijstelling van het bijhouden van een verwerkingsregister uit naar bedrijven met maximaal 750 medewerkers, tenzij er sprake is van hoog risico voor betrokkenen. Dit kan kleine organisaties ontlasten. Het voorstel wordt nog besproken in het Europees Parlement en de Raad.
De voorgestelde versoepelingen bieden ruimte, vooral voor bedrijven bij de SME/kmo-grens, maar brengen ook onzekerheid. Het verwerkingsregister ondersteunt AVG-naleving en toezicht. Veel organisaties hebben veel geïnvesteerd in complianceprocessen. Het blijft onduidelijk hoeveel versoepeling mogelijk is zonder privacyrechten te schaden.
Bovendien kunnen ook kleine organisaties betrokken kunnen zijn bij risicovolle verwerkingen. Het blijft dus belangrijk om per verwerking te beoordelen of sprake is van (waarschijnlijk) hoog risico voor betrokkenen, bijvoorbeeld bij bijzondere persoonsgegevens. In zulke gevallen blijft een Data Protection Impact Assessment (DPIA) verplicht en ook het verwerkingsregister. Daarbij geldt dat zodra een organisatie de grens van 750 werknemers overschrijdt, de vrijstelling direct vervalt zonder overgangsregeling. Voor legal operations betekent dit dat systemen en processen tijdig moeten worden aangepast om compliant te blijven bij personeelsgroei.
