Spring naar content

Ook deze derde variant blijft onderwerp van discussie. Vorig jaar probeerde de Franse politicus Philippe Latombe het DPF via de Europese rechter onderuit te halen, zonder succes. Nu stelt privacyorganisatie NOYB dat een recente uitspraak van het Amerikaanse Supreme Court opnieuw vragen oproept over de houdbaarheid van het framework.

In dit artikel gaan we in op de recente ontwikkelingen rondom het DPF en wordt gekeken of organisaties nog compliant data kunnen delen met de Verenigde Staten.

Waarom ligt het Data Privacy Framework steeds onder vuur?

Volgens de AVG mogen persoonsgegevens alleen buiten de Europese Economische Ruimte worden doorgegeven wanneer het ontvangende land een passend beschermingsniveau biedt. Daarom stelde de Europese Commissie in 2023 voor de Verenigde Staten, voor de derde keer, een zogenoemd adequaatheidsbesluit vast: het Data Privacy Framework (DPF). Daarbij hoeft de Amerikaanse privacywetgeving niet identiek te zijn aan de AVG, maar moet de bescherming in de praktijk wel essentially equivalent zijn: wezenlijk gelijkwaardig aan de bescherming binnen de Europese Unie.

Juist daar zit al jaren de discussie. In de bekende Schrems I- en Schrems II-uitspraken oordeelde het Hof van Justitie dat Safe Harbor en Privacy Shield onvoldoende bescherming boden. Amerikaanse inlichtingendiensten konden bijvoorbeeld te vergaande toegang krijgen tot persoonsgegevens en Europese burgers hadden onvoldoende mogelijkheden om daartegen op te komen.

Het Data Privacy Framework is ingevoerd om deze bezwaren weg te nemen. De Verenigde Staten voerden daarvoor aanvullende waarborgen in, waaronder strengere regels voor de toegang door inlichtingendiensten, extra toezicht en een nieuw klachtenmechanisme voor Europese burgers. Volgens NOYB – de organisatie van privacy voorvechter Max Schrems –  staan juist deze waarborgen opnieuw onder druk. Vorig jaar richtte de kritiek zich onder meer op wijzigingen binnen de Privacy and Civil Liberties Oversight Board (PCLOB). Nu stelt NOYB dat een recente uitspraak van het Amerikaanse Supreme Court ook vragen oproept over de onafhankelijkheid van de Federal Trade Commission (FTC), de toezichthouder die toezicht houdt op bedrijven die deelnemen aan het Data Privacy Framework.

Vorig jaar kreeg Latombe de rechter niet mee

Dat de recente ontwikkelingen niet automatisch leiden tot het einde van het DPF, blijkt ook uit de meest recente Europese rechtspraak. Vorig jaar probeerde de Franse politicus Philippe Latombe het adequaatheidsbesluit ongeldig te laten verklaren. Volgens hem boden de nieuwe Amerikaanse waarborgen nog steeds onvoldoende bescherming. Het Gerecht volgde die redenering niet en oordeelde dat de Europese Commissie op basis van de beschikbare informatie mocht concluderen dat de Verenigde Staten op dat moment een passend beschermingsniveau boden.

Dat betekent niet dat het Data Privacy Framework onaantastbaar is. De Europese Commissie blijft verplicht om de ontwikkelingen in de Verenigde Staten te monitoren en kan het adequaatheidsbesluit aanpassen, opschorten of intrekken wanneer de bescherming in de praktijk verandert. Voor nu is de conclusie echter duidelijk: het Data Privacy Framework blijft gewoon geldig. Dat is goed nieuws voor organisaties die dagelijks gebruikmaken van Amerikaanse software en marketingplatformen. Voor hen verandert de juridische basis voor internationale gegevensdoorgiften op dit moment niet.

Betekent dit dat Schrems III eraan komt?

Of het Hof van Justitie ook het Data Privacy Framework ongeldig zal verklaren, is niet te voorspellen. Wel heeft Max Schrems aangegeven dat hij een Schrems III voor zich ziet. Dat NOYB opnieuw kritisch is, past bovendien in de lijn die de organisatie al jaren volgt. Zij stond eerder ook aan de basis van de procedures die uiteindelijk een einde maakten aan Safe Harbor en Privacy Shield.

Tegelijkertijd is een kritisch persbericht iets anders dan een uitspraak van het Hof van Justitie. Op dit moment is er geen rechterlijke uitspraak die het Data Privacy Framework ongeldig verklaart. Ook de recente ontwikkelingen in de Verenigde Staten leiden daar niet automatisch toe. De Europese Commissie zal eerst moeten beoordelen of de Verenigde Staten nog steeds een beschermingsniveau bieden dat wezenlijk gelijkwaardig is aan dat binnen de Europese Unie. Pas dan komt het adequaatheidsbesluit ter discussie te staan.

Wat betekent dit voor marketeers?

Voor de dagelijkse praktijk verandert er op dit moment niets. Organisaties kunnen Amerikaanse softwareleveranciers blijven gebruiken wanneer zij onder het Data Privacy Framework zijn gecertificeerd. Wel is dit een goed moment om de eigen privacyorganisatie nog eens tegen het licht te houden en vooruit te kijken.

  • Breng internationale gegevensstromen in kaart. Weet welke persoonsgegevens jouw organisatie buiten de Europese Economische Ruimte verwerkt en via welke leveranciers dat gebeurt.
  • Controleer je leveranciers. Controleer periodiek of Amerikaanse leveranciers nog steeds onder het Data Privacy Framework zijn gecertificeerd en leg dit vast in je privacydocumentatie.
  • Houd alternatieven in beeld. Zorg ervoor dat bestaande Standard Contractual Clauses (SCC’s) en eventuele Transfer Impact Assessments actueel blijven. Niet omdat dit vandaag noodzakelijk is, maar omdat eerdere doorgiftemechanismen onverwacht zijn weggevallen. Kijk daarnaast waar mogelijk ook naar Europese alternatieven.
  • Blijf ontwikkelingen volgen. Internationale gegevensdoorgiften blijven een politiek en juridisch gevoelig onderwerp. Dat betekent niet dat organisaties direct hun marketingstack hoeven aan te passen, maar wel dat het verstandig is om ontwikkelingen rondom het Data Privacy Framework actief te blijven volgen.

Meer weten over het Data Privacy Framework of de manier waarop jouw data met de Verenigde Staten gedeeld kunnen worden? Vraag het onze legals via legal@ddma.nl

Team Legal DDMA

Kennisbank voor marketing en data

Ook interessant

Lees meer
Data delen buiten EU |

Het Data Privacy Framework ligt opnieuw onder vuur. Moeten organisaties zich zorgen maken?

Het Data Privacy Framework (DPF) ligt opnieuw onder vuur. Deze afspraken tussen de Europese Unie en de Verenigde Staten maken het mogelijk om persoonsgegevens rechtmatig door te geven aan Amerikaanse…
Lees meer
Influencermarketing |

Nieuwe regels voor influencer marketing: dit verandert er vanaf 1 juli 2026

Werk je met influencers, UGC-creators of affiliate marketing? Dan is het slim om de vernieuwde Reclamecode Social Media & Influencer Marketing (RSM) goed te bekijken. De code is aangepast aan…
Lees meer
Influencermarketing |

Influencerregels.com vernieuwt certificering: steeds meer merken kiezen voor gecertificeerde influencers

Influencerregels.com, een initiatief van DDMA marketingbranchevereniging, bvA netwerk van merkleiders en Stichting Reclame Code (SRC), lanceert vandaag een vernieuwde versie van Certified by Influencerregels.com. De geactualiseerde e-learning sluit aan op…