Spring naar content

Van Safe Harbour naar Data Privacy Framework

De juridische basis voor trans-Atlantische datadoorgifte heeft een bewogen verleden:

  • Schrems I (2015): het Safe Harbour-akkoord werd ongeldig verklaard, omdat Amerikaanse inlichtingendiensten te brede toegang hadden tot persoonsgegevens zonder effectieve controle.
  • Schrems II (2020): ook het opvolgende Privacy Shield sneuvelde. De toezichthouder was geen onafhankelijke rechter, wat onvoldoende bescherming bood volgens het Hof.
  • Data Privacy Framework (2023): als opvolger introduceert dit akkoord de Data Protection Review Court (DPRC), die burgers uit de EU rechtsbescherming moet bieden bij misbruik door Amerikaanse diensten.

Wat zegt het Hof?

Het Hof oordeelt dat het DPF betere bescherming biedt dan eerdere kaders. Toch blijven er zorgen:

  • De DPRC is formeel nieuw, maar functioneert binnen de Amerikaanse uitvoerende macht. De onafhankelijkheid blijft discutabel.
  • Bulkverzameling van data door Amerikaanse diensten is nog steeds toegestaan, al gelden strengere voorwaarden.
  • Bescherming tegen geautomatiseerde besluitvorming (zoals het recht op menselijke tussenkomst of uitleg) is in de VS beperkt.
  • De beveiligingseisen voor doorgifte zijn niet altijd op het niveau dat onder de AVG wordt vereist.

Belangrijk: nationale toezichthouders in de EU (zoals de AP) moeten ingrijpen als blijkt dat de Amerikaanse waarborgen in de praktijk onvoldoende zijn. Zij kunnen doorgifte in individuele gevallen opschorten of verbieden.

Wat betekent dit voor marketeers?

De uitspraak heeft directe impact op organisaties die werken met Amerikaanse tools, zoals Google, Meta, HubSpot of Salesforce. Als het DPF was afgeschoten, waren alle datastromen via deze platforms per direct onrechtmatig — met mogelijke boetes, verwijderverzoeken of claims tot gevolg.

Dankzij het adequacy decision blijft transatlantische data-uitwisseling voorlopig mogelijk zonder aanvullende maatregelen zoals Standard Contractual Clauses (SCCs) of dataminimalisatie via server-side oplossingen.

Lessen voor de praktijk

  1. Wees transparant
    Leg in je privacyverklaring helder uit welke tools je gebruikt, dat data in de VS wordt verwerkt en dat dit onder het DPF valt.
  2. Maak een plan B
    Monitor alternatieven, zoals EU-hosted oplossingen of Europese leveranciers. Mocht het DPF opnieuw sneuvelen, dan kun je snel schakelen.
  3. Blijf op de hoogte
    Houd toezicht op updates van de Europese Commissie en toezichthouders zoals de AP over de feitelijke werking van het DPF en de DPRC. DDMA houd je uiteraard op de hoogte.

Tot slot

De uitspraak biedt lucht: datadoorgifte naar de VS blijft mogelijk. Maar de rode draad sinds Schrems I en II is duidelijk: elk nieuw raamwerk staat onder druk zolang Amerikaanse surveillancepraktijken niet volledig in lijn zijn met Europese grondrechten.

Zorg dus dat je beleid niet alleen juridisch klopt, maar ook voorbereid is op wat nog komen kan.

Sara Mosch

Legal counsel

Ook interessant

Lees meer
AI Act |

AI & Platformregulering: Hoe de AI Act, DSA en DMA jouw marketing beïnvloeden

Voor effectieve online marketing zijn de grote platformen zoals Meta, Google en TikTok onmisbaar. Ze vormen de spil in veel marketingstrategieën. Denk aan personalisatie, targeting en performance analyse. Tegelijkertijd draaien…
Lees meer
AI Act |

Het juridische slagveld van AI Chatbots: Privacytoezichthouders staan op scherp

AI-chatbots zijn niet meer weg te denken uit de digitale wereld. Ze worden ingezet voor klantenservice, contentcreatie en zelfs strategisch advies. Maar terwijl de technologie zich razendsnel ontwikkelt, staan privacytoezichthouders…
Lees meer
AI Act |

Europese Commissie presenteert digitale agenda: nieuwe regels en kansen voor marketing

De Europese Commissie heeft haar plannen voor 2025 gepresenteerd, met een focus op nieuwe wetgeving die de bestaande regelgeving, zoals de AVG, moet vereenvoudigen. Deze ontwikkelingen bieden kansen voor de…