Van Safe Harbour naar Data Privacy Framework
De juridische basis voor trans-Atlantische datadoorgifte heeft een bewogen verleden:
- Schrems I (2015): het Safe Harbour-akkoord werd ongeldig verklaard, omdat Amerikaanse inlichtingendiensten te brede toegang hadden tot persoonsgegevens zonder effectieve controle.
- Schrems II (2020): ook het opvolgende Privacy Shield sneuvelde. De toezichthouder was geen onafhankelijke rechter, wat onvoldoende bescherming bood volgens het Hof.
- Data Privacy Framework (2023): als opvolger introduceert dit akkoord de Data Protection Review Court (DPRC), die burgers uit de EU rechtsbescherming moet bieden bij misbruik door Amerikaanse diensten.
Wat zegt het Hof?
Het Hof oordeelt dat het DPF betere bescherming biedt dan eerdere kaders. Toch blijven er zorgen:
- De DPRC is formeel nieuw, maar functioneert binnen de Amerikaanse uitvoerende macht. De onafhankelijkheid blijft discutabel.
- Bulkverzameling van data door Amerikaanse diensten is nog steeds toegestaan, al gelden strengere voorwaarden.
- Bescherming tegen geautomatiseerde besluitvorming (zoals het recht op menselijke tussenkomst of uitleg) is in de VS beperkt.
- De beveiligingseisen voor doorgifte zijn niet altijd op het niveau dat onder de AVG wordt vereist.
Belangrijk: nationale toezichthouders in de EU (zoals de AP) moeten ingrijpen als blijkt dat de Amerikaanse waarborgen in de praktijk onvoldoende zijn. Zij kunnen doorgifte in individuele gevallen opschorten of verbieden.
Wat betekent dit voor marketeers?
De uitspraak heeft directe impact op organisaties die werken met Amerikaanse tools, zoals Google, Meta, HubSpot of Salesforce. Als het DPF was afgeschoten, waren alle datastromen via deze platforms per direct onrechtmatig — met mogelijke boetes, verwijderverzoeken of claims tot gevolg.
Dankzij het adequacy decision blijft transatlantische data-uitwisseling voorlopig mogelijk zonder aanvullende maatregelen zoals Standard Contractual Clauses (SCCs) of dataminimalisatie via server-side oplossingen.
Lessen voor de praktijk
- Wees transparant
Leg in je privacyverklaring helder uit welke tools je gebruikt, dat data in de VS wordt verwerkt en dat dit onder het DPF valt. - Maak een plan B
Monitor alternatieven, zoals EU-hosted oplossingen of Europese leveranciers. Mocht het DPF opnieuw sneuvelen, dan kun je snel schakelen. - Blijf op de hoogte
Houd toezicht op updates van de Europese Commissie en toezichthouders zoals de AP over de feitelijke werking van het DPF en de DPRC. DDMA houd je uiteraard op de hoogte.
Tot slot
De uitspraak biedt lucht: datadoorgifte naar de VS blijft mogelijk. Maar de rode draad sinds Schrems I en II is duidelijk: elk nieuw raamwerk staat onder druk zolang Amerikaanse surveillancepraktijken niet volledig in lijn zijn met Europese grondrechten.
Zorg dus dat je beleid niet alleen juridisch klopt, maar ook voorbereid is op wat nog komen kan.
Ook interessant

AI & Platformregulering: Hoe de AI Act, DSA en DMA jouw marketing beïnvloeden

Het juridische slagveld van AI Chatbots: Privacytoezichthouders staan op scherp
