Leestijd: 5 minuten
De doorgifte van persoonsgegevens naar de Verenigde Staten (VS) is al jarenlang onderwerp van het juridische en politieke debat. Een balans vinden tussen de Amerikaanse datahonger en de Europese bescherming van persoonsgegevens blijkt uitermate lastig. Afspraken tussen de Europese Commissie en de VS over gegevensuitwisseling zijn meerdere keren ongeldig verklaard door het Hof van Justitie van de Europese Unie (het Hof), vanwege zorgen over massasurveillance en rechtsbescherming.
In 2023 heeft de Europese Commissie het EU-US Data Privacy Framework (DPF) vastgesteld als nieuwe basis voor doorgifte. Daarmee was de discussie over dit onderwerp niet meteen voorbij. Ook de European Data Protection Board (EDPB) uitte de nodige kritiek op het DPF. In 2025 werd het DPF door de hoogste Europese rechter getoetst in de Latombe-zaak. Deze blog beschrijft de ontwikkeling van de uitwisseling van persoonsgegevens met de VS via de rechtspraak. Over Safe Harbor via Privacy Shield tot aan het DPF.
Grillige historie van data-uitwisseling met de VS
Er gelden aparte afspraken voor doorgifte van persoonsgegevens naar de VS. Sinds 2015 zijn al twee afspraken ongeldig verklaard door het Hof.
Schrems I: Safe Harbor ongeldig (2015)
De tussen 1998 en 2000 ontwikkelde Safe Harbor Privacy Principles zorgden voor de juridische basis waarop Amerikaanse bedrijven Europese persoonsgegevens mochten verwerken. In 2015 oordeelde het Hof dat het Safe Harbor-akkoord tussen de EU en de VS ongeldig was.
De aanleiding was een klacht van privacy-activist Max Schrems, die stelde dat Amerikaanse wetgeving onvoldoende bescherming bood tegen massasurveillance door inlichtingendiensten. Het Hof gaf hem gelijk. Amerikaanse autoriteiten konden zonder duidelijke beperkingen toegang krijgen tot persoonsgegevens van EU-burgers, terwijl die burgers geen effectieve rechtsmiddelen hadden om zich daartegen te verzetten. De Europese Commissie had volgens het Hof onvoldoende onderzocht of de VS daadwerkelijk een passend beschermingsniveau boden. Daarmee was het adequaatheidsbesluit (tegenwoordig op basis van artikel 45 AVG) komen te ontvallen.
Schrems II: ook Privacy Shield ongeldig verklaard (2020)
Hierop werd door de Europese Commissie en de VS een nieuw doorgiftemechanisme ontwikkeld: het EU-US Privacy Shield. Vijf jaar later verklaarde het Hof ook het Privacy Shield ongeldig. Ook deze kwestie werd gestart door Schrems.
Hoewel het Privacy Shield enkele verbeteringen bevatte, zoals een ombudsmanfunctie, vond het Hof deze niet voldoende. De twee belangrijkste redenen waren dat Amerikaanse inlichtingen- en veiligheidsdiensten ongebreideld toegang hebben tot alle gegevens van EU-burgers en deze naar eigen inzicht mogen verwerken. Daarbij biedt het ombudsman-mechanisme onvoldoende bescherming aan EU-burgers met een klacht over de verwerking van hun persoonsgegevens. Het Hof bevestigde nog eens dat het beschermingsniveau bij gegevensdoorgifte in grote lijnen overeen moet komen met het niveau dat binnen de EU wordt gewaarborgd door de AVG, gelezen in het licht van het Handvest. Omdat dit bij het Privacy Shield niet het geval was, sneuvelde opnieuw een adequaatheidsbesluit van de Commissie.
Data Privacy Framework
Na het ongeldig verklaren van het Safe Harbour-akkoord en het Privacy Shield heeft de Europese Commissie in 2023 het EU-US Data Privacy Framework (DPF) opgezet. Dit zijn de nieuwe afspraken over veilige doorgifte van persoonsgegevens naar de VS. Het DPF bevat nieuwe waarborgen tegen toegang door Amerikaanse inlichtingendiensten, waaronder de oprichting van een speciale klachtenprocedure via de Data Protection Review Court (DPRC).
Organisaties in de VS kunnen hier vrijwillig bij aansluiten. Als zij meedoen aan het DPF, mogen Europese organisaties persoonsgegevens aan hen doorgeven zonder aanvullende maatregelen te hoeven nemen. Is een organisatie niet aangesloten, dan mogen Europese partijen persoonsgegevens alleen doorgegeven op basis van een ander doorgifte-instrument, zoals een modelcontract of intern bindende bedrijfsvoorschriften. Ook moeten zij extra maatregelen nemen om de persoonsgegevens te beschermen indien nodig. Zie het algemene blog over doorgifte aan outsiders.
Latombe
Philippe Latombe, een Franse politicus, vond dat zijn persoonsgegevens onvoldoende beschermd waren bij doorgifte aan de VS via digitale platforms. Hij vroeg het Hof van Justitie van de EU om het adequaatheidsbesluit over het Data Privacy Framework (DPF) te vernietigen. Eerdere afspraken tussen de EU en de VS, zoals Safe Harbour en Privacy Shield, zijn eerder ongeldig verklaard vanwege onvoldoende bescherming van fundamentele rechten. Als reactie daarop voerden de VS nieuwe waarborgen in, waaronder de oprichting van de Data Protection Review Court (DPRC).
Latombe bracht, na intrekking van de eerste, in totaal vier bezwaren naar voren (randnummers 16-17):
- Het DPF biedt niet genoeg bescherming voor privéleven en persoonsgegevens, omdat de VS nog steeds te veel toegang heeft tot Europese data (tweede plea);
- Het Amerikaanse Data Protection Review Court (DPRC) is geen echte onafhankelijke rechtbank. Het hoort bij de uitvoerende macht en is niet door een wet van het Congres opgericht (derde plea);
- Het besluit zou niets zeggen over bescherming tegen automatische besluitvorming (vierde plea); en
- De VS nemen niet genoeg technische en organisatorische maatregelen om persoonsgegevens goed te beschermen tegen misbruik of hacking (vijfde plea).
Het Hof verwierp alle bezwaren in zijn arrest van 3 september 2025.
Latombe-arrest
Het Hof oordeelde dat de DPRC voldoende onafhankelijk functioneert. Rechters zijn benoemd onder waarborgen die hun onafhankelijkheid garanderen en kunnen alleen om gegronde redenen worden ontslagen door de procureur-generaal. Ook mogen de procureur-generaal en inlichtingendiensten hun werk niet onjuist beïnvloeden (randnummers 33-63).
Ten aanzien van de massale verzameling van persoonsgegevens wees het Hof op het Schrems II-arrest. Hieruit volgt dat massale gegevensverzameling door Amerikaanse inlichtingendiensten achteraf juridisch moet worden getoetst. In het dossier blijkt dat de DPRC over de onderschepping van communicatie door Amerikaanse inlichtingendiensten (signaleringsactiviteiten) moet oordelen, maar het is niet aangetoond dat deze praktijk voldoet aan de EU-normen (randnummers 92–153). Wat betreft automatische besluitvorming oordeelt het Hof dat de VS voldoende bescherming biedt via sectorale wetgeving op gebieden als krediet, werk, huisvesting en zorg (randnummers 161–187).
Daarnaast benadrukt het Hof dat de Europese Commissie volgens het besluit verplicht is om continu toezicht te houden op de toepassing van het Amerikaanse juridische kader. Zodra het Amerikaanse recht of de praktijk zodanig verandert dat het beschermingsniveau niet langer adequaat is, moet de Commissie de bestreden beschikking opschorten, wijzigen of intrekken (randnummer 58). Dit is een relevante opmerkingen in tijden waarin er nog al eens vragen rijzen over het privacybeleid van de huidige Trump-regering.
Uiteindelijk oordeelt het Hof dat de Amerikaanse waarborgen momenteel voldoende zijn en wijst het alle bezwaren van Latombe af. Doorgifte van persoonsgegevens aan de VS via het DPF blijft daarmee voorlopig toegestaan, zonder dat daarvoor aanvullende contracten nodig zijn.
Conclusie
Het Data Privacy Framework blijft voorlopig geldig na de Latombe-uitspraak. Een hoger beroep kan het oordeel misschien doen kantelen, maar het is nu nog niet zeker of die gaat plaatsvinden. Ook Max Schrems heeft gereageerd op dit arrest en onderzoekt of een “Schrems III-zaak” zinvol zal zijn.
Zodra twijfel ontstaat over de onafhankelijkheid van toezicht of de proportionaliteit van surveillance, kan het Hof alsnog ingrijpen. Het huidige regime in de VS baart allicht enige zorgen. Zo doet de Trump-regering bijvoorbeeld regelmatige politieke benoemingen en breidde zij het gebruik van technologie van Clearview AI uit, een bedrijf dat gezichtsbeelden verzamelt van internet, vaak zonder toestemming. Dergelijke ontwikkelingen roepen vragen op over transparantie en gegevensbescherming.
Voorlopig blijft doorgifte op basis van het DPF dus toegestaan, maar de eeuwige discussie is daarmee niet gesloten. NORD Advocaten helpt uw organisatie graag met het maken van solide beleid, gestoeld op strategische keuzes in cloudopslag en dataoverdracht.
