De internet-browser die je gebruikt wordt niet langer ondersteund

Dit betekent o.a. dat je geen diensten kunt bestellen. Start met een andere browser of neem contact op met onze klantenservice. Browsers die we aanraden zijn Chrome, Edge, Firefox of Brave.

    Blog

    9 april 2026

    Een aantal wijzigingen raakt direct hoe je met data werkt en hoe je risico’s beheerst.

    Wat verandert er precies?

    Allereerst wordt duidelijker wat wel en geen persoonsgegeven is. Data valt alleen nog onder de privacyregels als je iemand redelijkerwijs kunt identificeren. Dat klinkt logisch, maar in de praktijk gaf dit vaak discussie. Door recente rechtspraak nu vast te leggen, ontstaat meer houvast. Werk je bijvoorbeeld met interne risicoscores, alerts of geaggregeerde analyses? Dan kan het zijn dat deze buiten de privacyregels vallen, zolang je echt niet naar een individu kunt herleiden. Dat geeft ruimte, maar vraagt wel om goede onderbouwing.

    Een tweede belangrijke ontwikkeling is de sterkere positie van gepseudonimiseerde data. In sommige gevallen hoeft die data straks niet meer als persoonsgegeven behandeld te worden. Dat maakt het makkelijker om data te delen en te analyseren, bijvoorbeeld binnen internationale groepen of bij uitbesteding. Voorwaarde blijft wel dat je je processen goed hebt ingericht en dat privacy vanaf het begin is meegenomen. Slordigheid hier kan je duur komen te staan.

    Ook op het gebied van inzagerechten (de bekende DSAR-verzoeken) verandert er iets. Organisaties krijgen meer ruimte om misbruik tegen te gaan. Als iemand overduidelijk probeert om via zo’n verzoek systemen of controles bloot te leggen, mag je dat weigeren of er een redelijke vergoeding voor vragen. Dat is vooral relevant voor CDD-teams, omdat dit helpt voorkomen dat kwaadwillenden inzicht krijgen in monitoring of sanctiescreening.

    Verder komt er één centraal meldpunt voor datalekken en incidenten. In plaats van meerdere meldingen onder verschillende regels (zoals privacy, IT-security en financiële regelgeving), wordt dit samengebracht. Dat scheelt dubbel werk en maakt het makkelijker om processen op elkaar af te stemmen. In de praktijk betekent dit dat samenwerking tussen compliance, IT en risk alleen maar belangrijker wordt.

    Wat betekent dit alles onder de streep?

    De Digital Omnibus versoepelt privacyregels niet, maar maakt ze wel werkbaarder. De nadruk ligt meer op risico’s en minder op vinkjes zetten. Voor compliance en CDD biedt dat kansen: slimmer omgaan met data, technologie beter benutten en efficiënter werken.

    Maar er zit ook een duidelijke voorwaarde aan: je moet kunnen uitleggen wat je doet en waarom. Goede documentatie, duidelijke keuzes en sterke governance maken het verschil. Zonder dat fundament wordt de extra ruimte juist een risico.

    Zie het dus niet als minder regels, maar als meer verantwoordelijkheid. Dat vraagt om scherpte, maar geeft je ook de ruimte om je werk beter te doen.

    NCI verzorgt opleidingen op het gebied van compliance en CDD. Bekijk hier alle opleidingen.

    Geschreven door Linda Keulen (propositiemanager)