Europese rechter over datadoorgifte VS: vertrouwen onder voorwaarden

Van Safe Harbour naar Data Privacy Framework

De juridische basis voor trans-Atlantische datadoorgifte heeft een bewogen verleden:

• Schrems I (2015): het Safe Harbour-akkoord werd ongeldig verklaard, omdat Amerikaanse inlichtingendiensten te brede toegang hadden tot persoonsgegevens zonder effectieve controle.
• Schrems II (2020): ook het opvolgende Privacy Shield sneuvelde. De toezichthouder was geen onafhankelijke rechter, wat onvoldoende bescherming bood volgens het Hof.
• Data Privacy Framework (2023): als opvolger introduceert dit akkoord de Data Protection Review Court (DPRC), die burgers uit de EU rechtsbescherming moet bieden bij misbruik door Amerikaanse diensten.

Wat zegt het Hof?

Het Hof oordeelt dat het DPF betere bescherming biedt dan eerdere kaders. Toch blijven er zorgen:

• De DPRC is formeel nieuw, maar functioneert binnen de Amerikaanse uitvoerende macht. De onafhankelijkheid blijft discutabel.
• Bulkverzameling van data door Amerikaanse diensten is nog steeds toegestaan, al gelden strengere voorwaarden.
• Bescherming tegen geautomatiseerde besluitvorming (zoals het recht op menselijke tussenkomst of uitleg) is in de VS beperkt.
• De beveiligingseisen voor doorgifte zijn niet altijd op het niveau dat onder de AVG wordt vereist.

Belangrijk: nationale toezichthouders in de EU (zoals de AP) moeten ingrijpen als blijkt dat de Amerikaanse waarborgen in de praktijk onvoldoende zijn. Zij kunnen doorgifte in individuele gevallen opschorten of verbieden.

Wat betekent dit voor marketeers?

De uitspraak heeft directe impact op organisaties die werken met Amerikaanse tools, zoals Google, Meta, HubSpot of Salesforce. Als het DPF was afgeschoten, waren alle datastromen via deze platforms per direct onrechtmatig — met mogelijke boetes, verwijderverzoeken of claims tot gevolg.

Dankzij het adequacy decision blijft transatlantische data-uitwisseling voorlopig mogelijk zonder aanvullende maatregelen zoals Standard Contractual Clauses (SCCs) of dataminimalisatie via server-side oplossingen.

Lessen voor de praktijk

1. Wees transparant
   Leg in je privacyverklaring helder uit welke tools je gebruikt, dat data in de VS wordt verwerkt en dat dit onder het DPF valt.
2. Maak een plan B
   Monitor alternatieven, zoals EU-hosted oplossingen of Europese leveranciers. Mocht het DPF opnieuw sneuvelen, dan kun je snel schakelen.
3. Blijf op de hoogte
   Houd toezicht op updates van de Europese Commissie en toezichthouders zoals de AP over de feitelijke werking van het DPF en de DPRC. DDMA houd je uiteraard op de hoogte.

Tot slot

De uitspraak biedt lucht: datadoorgifte naar de VS blijft mogelijk. Maar de rode draad sinds Schrems I en II is duidelijk: elk nieuw raamwerk staat onder druk zolang Amerikaanse surveillancepraktijken niet volledig in lijn zijn met Europese grondrechten.

Zorg dus dat je beleid niet alleen juridisch klopt, maar ook voorbereid is op wat nog komen kan.

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Sara Mosch

Legal counsel