Toen de Europese Commissie in november 2025 haar Digital Omnibus-pakket presenteerde, werden de voorgestelde wijzigingen in regels rond data, cybersecurity en AI neergezet als een vereenvoudiging. Het doel: de concurrentiekracht van de EU vergroten.
De belofte aan bedrijfsleiders is dat zij in de toekomst minder tijd kwijt zijn aan administratie en compliance, en meer tijd overhouden voor innovatie en groei. Op korte termijn blijft het echter lastig om door het wetgevingslandschap te navigeren, zeker in 2026 en daarna. Het Europese databeleid verandert. Maatregelen die complexiteit verminderen en regeldruk verlagen zijn positief, maar wetgeving verandert niet van de ene op de andere dag.
Complex en versnipperd
Veel bedrijven in Nederland en daarbuiten worstelen met compliance. Vaak komt dat doordat de IT-systemen en tools waarmee zij waardevolle bedrijfsdata verzamelen, opslaan en analyseren net zo complex en versnipperd zijn als de regels waaraan zij moeten voldoen.
Data die onder Europese datarichtlijnen valt, staat vaak in silo’s of is dubbel opgeslagen in een lappendeken van losse, maar deels overlappende systemen. Daardoor vraagt compliance veel tijdrovend handmatig werk.
Voor veel organisaties begint een betere en efficiëntere aanpak van datacompliance bij een dataplatform dat cybersecurity, bedrijfsinzichten en search samenbrengt. Zo’n platform doorbreekt datasilo’s en biedt end-to-end realtime zichtbaarheid in complexe, gedistribueerde omgevingen via één wereldwijd overzicht.
Daarnaast kan zo’n platform veel routinetaken binnen compliance automatiseren. Denk aan het signaleren van persoonlijk identificeerbare informatie, of PII.
Een platformbenadering van data helpt organisaties bij vier belangrijke taken binnen datacompliance.
Data verzamelen
Data stroomt moderne organisaties binnen vanuit tientallen bronnen, zoals interne systemen, klantplatforms, partnernetwerken en verbonden apparaten. De uitdaging is tweeledig.
Moderne organisaties beschikken over waardevolle data in tientallen systemen, afdelingen en partnernetwerken. Versnippering verhindert echter dat zij die data effectief gebruiken. Het doel is daarom uniforme zichtbaarheid over al die data. Dat levert sneller inzicht en betere beslissingen op, zonder data te verplaatsen of te dupliceren.
Tegelijkertijd moeten organisaties data zo verzamelen dat er verderop in het proces geen nieuwe complianceproblemen ontstaan. Hier komt een opensourceframework als OpenTelemetry in beeld. Het helpt organisaties data voorbereid, beschermd en verwerkbaar te verzamelen, met de opslag-, beveiligings- en analysetools die nodig zijn om aan compliance-eisen te voldoen.
Data beperken
PII sluipt vaker dan veel IT-leiders willen toegeven ongemerkt applicatielogs binnen. Daardoor verandert een gewone IT-registratie ineens in een compliancerisico. De mogelijkheid om die PII automatisch te herkennen en te redigeren voordat de data wordt opgeslagen, maakt het verschil tussen een beheersbare dataomgeving en een kostbaar probleem.
Een breed dataplatform met een centrale gebruikersinterface stelt bedrijven in staat om veelvoorkomende taken te stroomlijnen, zoals het redigeren van data, het extraheren van velden, het instellen van bewaartermijnen en het doorsturen van data naar de juiste plek. Die optimalisatie beperkt de benodigde opslagcapaciteit.
Data beschermen
Wanneer een datalek plaatsvindt, is een van de eerste vragen van toezichthouders: wie had toegang, en waarom? Voor bedrijven die onder de AVG vallen, moet het antwoord precies zijn.
Een zero trust-architectuur zorgt ervoor dat toegang nooit wordt verondersteld. Toegang moet altijd worden gecontroleerd en geverifieerd, per gebruiker en op basis van diens rol. Daarnaast is het essentieel dat systemen fijnmazige toegangscontroles ondersteunen. Gebruikers mogen alleen documenten of datavelden zien die relevant zijn voor hun specifieke functie. Daarvoor is een robuust taggingmechanisme nodig dat per data-element duidelijk vastlegt wie wat mag bekijken.
Interoperabiliteit waarborgen
Hoe geef je de juiste mensen toegang tot gevoelige data zonder die data over grenzen heen te verplaatsen en mogelijk in conflict te komen met regels rond datasoevereiniteit? Het is een dilemma dat veel organisaties herkennen die actief zijn in meerdere EU-lidstaten.
Waar voorheen het antwoord een centraal datalake was, is dat nu een data mesh. Daarmee kan data in de bronsystemen blijven staan, terwijl die data wel toegankelijk is en kan worden omgezet in bruikbare inzichten. Zo blijft data dicht bij de bron, terwijl de mensen die de data nodig hebben er toch zicht op houden.
Evenwichtsoefening
Kort gezegd, er komen veranderingen aan, maar er is nog weinig consensus over hoe die veranderingen eruit zullen zien en wat ze betekenen voor bedrijven in de EU. Sommige regels worden mogelijk vereenvoudigd. Andere regels worden wellicht versoepeld voor bepaalde typen bedrijven, vooral in het mkb. Sommige regels zullen worden uitgesteld, met name rond AI en datasoevereiniteit. Weer andere regels worden verduidelijkt wanneer ze als verwarrend of misleidend worden gezien.
Het Digital Omnibus-pakket zal niet leiden tot een volledige herschrijving van de Europese dataregels. Het zal ook de bestaande kernverplichtingen rond databescherming niet wegnemen.
Alleen met volledig zicht op bedrijfsdata, ongeacht vorm of bron, kunnen bedrijven dit bewegende speelveld goed navigeren.
Dit is een ingezonden bijdrage van Elastic. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.