Stel je voor: Data2Secure BV, een groeiend IT-bedrijf uit Gent met 320 medewerkers. Ze specialiseren zich in cybersecuritydiensten voor internationale kmo’s en staan bekend om hun innovatieve aanpak. Tot voor kort moest DataSecure, zodra ze de grens van 250 werknemers overschreden, voldoen aan zware administratieve verplichtingen onder de GDPR: uitgebreide registers van verwerkingsactiviteiten, uitgebreide documentatie en bijkomende audits.

Nu komt daar verandering in. Dankzij het nieuwe Omnibus IV-pakket van de Europese Commissie (21 mei 2025) wordt de vrijstelling voor het bijhouden van die verwerkingsregisters uitgebreid tot bedrijven met minder dan 750 medewerkers, en geldt de verplichting enkel nog voor ‘hoog-risico’ verwerkingen. Voor een bedrijf als DataSecure betekent dit aanzienlijke tijd- en kostenbesparingen die ze liever investeren in hun klanten en beveiligingsoplossingen.

Verslag – Omnibus IV Q&A (GDPR-gerelateerd)

Publicatiedatum & context

• Datum: 21 mei 2025
• Documenttype: “Questions and Answers on Simplification Omnibus IV” gepubliceerd op de Press Corner van de Europese Commissie.

Waarom dit pakket?

• Het Omnibus IV is onderdeel van de Single Market-strategie om de Europese concurrentiekracht en welvaart te versterken.
• Streeft naar een vermindering van administratieve lasten met 25 %, en zelfs 35 % specifiek voor kmo’s (SMEs).
• Maakt regelgeving proportioneel, doelgericht en bevordert zakelijke groei, innovatie en investeringen.
  European Commission

Belangrijkste GDPR-maatregel voor kmo’s / SMC’s

• Verwerking van persoonsgegevens: de bestaande vrijstelling onder artikel 30 GDPR (registratieplicht verwerkingen) — tot nog toe alleen voor organisaties <250 werknemers — wordt uitgebreid naar bedrijven met minder dan 750 medewerkers (SMC’s) én beperkt tot ‘high risk’ verwerkingen.
• Besparing: deze wijziging zou om en bij €66 miljoen per jaar besparen voor bedrijven.
  European CommissionOpenrijk

Waarom belangrijk voor kmo’s?

• Voorkomt dat groeiende bedrijven onevenredige administratieve last dragen zodra ze de SME-grens passeren.
• Zorgt voor een meer vloeiende overgang binnen nalevingsverplichtingen en stimuleert groei.
  European Commission

---

Onze samenvatting:

European Commission – Simplification Omnibus IV (21 mei 2025)
Kmo’s (SMEs) profiteren van een belangrijke aanpassing in de GDPR: de registratieplicht van verwerkingsactiviteiten (artikel 30) wordt versoepeld. Waar deze vrijstelling vroeger enkel tot 250 werknemers gold, geldt die nu ook voor bedrijven tot 750 medewerkers, mits ze enkel ‘high risk’-verwerkingen registreren. Hiermee wordt naar schatting €66 miljoen per jaar bespaard aan administratiekosten — een welcome boost voor groeiende bedrijven.

→ Officiële bron:

https://ec.europa.eu/commission/presscorner/detail/en/qanda_25_1278

Update – Beleidsnota Bescherming van Persoonlijk Identificeerbare Informatie (PII)

1. Doelstelling

Deze beleidsnota beschrijft de maatregelen en verantwoordelijkheden die de organisatie hanteert om Persoonlijk Identificeerbare Informatie (PII) te beschermen.
Het doel is:

• de rechten en vrijheden van betrokkenen te waarborgen,
• naleving van de GDPR, NIS2 en overige relevante regelgeving te garanderen,
• de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens te borgen.

---

2. Toepassingsgebied

Dit beleid geldt voor:

• alle medewerkers, stagiairs en externe partijen die PII verwerken,
• alle informatiesystemen en fysieke dossiers waar PII aanwezig is,
• alle processen waarbij persoonsgegevens direct of indirect verwerkt worden.

---

3. Definities

• PII / Persoonsgegevens: alle gegevens die een natuurlijke persoon identificeren of identificeerbaar maken (naam, adres, telefoon, e-mail, IP-adres, biometrische gegevens, etc.).
• Verwerking: elke bewerking met betrekking tot PII, inclusief verzamelen, opslaan, raadplegen, gebruiken, delen of verwijderen.
• Betrokkene: de natuurlijke persoon op wie de PII betrekking heeft.
• DPO: Data Protection Officer, verantwoordelijk voor toezicht op naleving en adviesverlening.

---

4. Beleidsverklaring

De organisatie verbindt zich ertoe:

1. PII uitsluitend te verwerken op basis van een wettelijke grondslag (toestemming, contract, wettelijke verplichting, vitaal belang, algemeen belang of gerechtvaardigd belang).
3. Dataminimalisatie toe te passen en enkel de strikt noodzakelijke gegevens te verzamelen.
4. Transparantie te waarborgen door betrokkenen te informeren over het doel en de duur van verwerking.
6. Passende technische en organisatorische maatregelen te nemen conform ISO 27001:2022 Annex A (encryptie, pseudonimisering, logging, toegangsbeheer).
8. Incidenten en datalekken onmiddellijk te melden volgens het datalekkenprotocol en, indien noodzakelijk, aan de Gegevensbeschermingsautoriteit (GBA).
10. De rechten van betrokkenen te respecteren (inzage, correctie, verwijdering, dataportabiliteit, bezwaar).
12. Alle medewerkers periodiek te trainen in privacy en gegevensbescherming.

---

5. Rollen en verantwoordelijkheden

• Bestuur/Directie: eindverantwoordelijk voor naleving van dit beleid.
• DPO: adviseert, ziet toe op naleving, fungeert als contactpunt voor toezichthouders.
• Proceseigenaren: zorgen voor toepassing van dit beleid binnen hun processen.
• IT-afdeling: implementeert technische beveiligingsmaatregelen en voert monitoring en logging uit.
• Alle medewerkers: dienen dit beleid na te leven en incidenten direct te melden.

---

6. Beveiligingsmaatregelen

• Toegangsbeheer: Role-Based Access Control (RBAC), authenticatie met MFA.
• Encryptie: alle PII wordt versleuteld in rust en tijdens transport.
• Logging & monitoring: alle toegang tot PII wordt geregistreerd en regelmatig geëvalueerd.
• Fysieke beveiliging: gecontroleerde toegang tot archief- en serverruimtes.
• Bewaartermijnen: PII wordt niet langer bewaard dan noodzakelijk en verwijderd of geanonimiseerd zodra de bewaartermijn verstreken is.

---

7. Rechten van betrokkenen

De organisatie waarborgt dat betrokkenen de volgende rechten kunnen uitoefenen:

• Recht op inzage in hun gegevens,
• Recht op rectificatie of verwijdering,
• Recht op beperking van verwerking,
• Recht op dataportabiliteit,
• Recht op bezwaar.
  Verzoeken van betrokkenen worden binnen één maand behandeld.

---

8. Incidentbeheer en datalekken

• Elk (mogelijk) datalek wordt onmiddellijk gemeld aan de DPO.
• De DPO beoordeelt meldingsplicht aan de GBA en aan de betrokkene(n).
• Alle datalekken worden gedocumenteerd in een datalekregister.
• Correctieve maatregelen worden zo snel mogelijk genomen.

---

9. Evaluatie en naleving

• Dit beleid wordt minimaal jaarlijks geëvalueerd en aangepast bij gewijzigde wetgeving of risico’s.
• Interne audits worden uitgevoerd conform ISO 27001 om naleving te toetsen.
• Niet-naleving kan leiden tot disciplinaire maatregelen.

---

10. Goedkeuring

Dit beleid is goedgekeurd door de directie op [datum] en treedt onmiddellijk in werking

MELDING GDPR incident UPDATE 2/06/2025

Nieuwe update voor het Belgische GBA-portaal

De Gegevensbeschermingsautoriteit (GBA) bereidt een nieuw digitaal portaal voor, dat van start ging op 2 juni 2025. Met dit portaal worden meldingen van datalekken en het beheer van DPO-cases (Functionaris voor Gegevensbescherming) efficiënter en moderner: de bekende e-forms worden vervangen door dynamische digitale formulieren GegevensbeschermingsautoriteitPrivacy Enablers.

Belangrijkste kenmerken:

• Ouverturen e-forms gestopt op 23 mei 2025 om 12u; vanaf 2 juni om 10u is het nieuwe portaal actief.
• Er is een respijtperiode (“grace period”) tot 9 juni 2025 om meldingen die in de overgangsfase vallen alsnog in te dienen GegevensbeschermingsautoriteitGegevensbeschermingsautoriteit.
• Vanaf 10 juni 2025 is een “company account” verplicht, gekoppeld aan FAS (bijv. eID of Itsme) voor de authenticatie bij datalekmeldingen LawNowLexology.
• Het meldproces gebeurt in twee delen:
• 1. Part 1 – initiële melding binnen 72 uur, levert een referentienummer op (“DBN…”).
  2. Part 2 – gedetailleerde informatie (oorzaak, impact, bijlagen) moet binnen 21 dagen worden aangevuld

Advies nodig? Danny@qfirst.be