Data Privacy Framework blijft (voorlopig) staan

Het Europees Hof van Justitie [1] heeft op 3 september 2025 geoordeeld dat het Data Privacy Framework [2] geldig blijft. De klacht van de Franse parlementariër Philippe Latombe werd ontvankelijk verklaard, maar inhoudelijk afgewezen. Daarmee houdt het DPF voorlopig stand.[3]

De Europese Commissie kent met DPF aan de doorgifte van persoonsgegevens naar de VS een zogeheten ‘adequaat beschermingsniveau’ toe.[4] Dit maakt het mogelijk dat persoonsgegevens van betrokkenen in de EU naar de VS kunnen worden doorgegeven, waarbij de bescherming van de gegevens ten minste gelijkwaardig worden geacht aan het niveau van de bescherming binnen de EU. Doorgifte betekent dat gegevens, zoals klantendata, HR-bestanden of cloudopslag de Atlantische Oceaan oversteken om in de VS te worden verwerkt. Juist daar ligt het spanningsveld: zijn die gegevens in Amerika wel even veilig als hier?

Ondanks dat het DPF overeind blijft, blijft onzekerheid bestaan. Eerdere kaders sneuvelden al bij het Hof van Justitie en een nieuw beroep is mogelijk. De vraag is dus of het DPF de storm wel zal doorstaan.

Inleiding

De bescherming van persoonsgegevens bij doorgifte naar de VS blijft een heet hangijzer. Sinds 2015 zijn al twee afspraken ongeldig verklaard door het HvJEU. Met het DPF hoopte de Europese Commissie eindelijk stabiliteit te brengen. De centrale vraag is: wat betekent de Latombe-uitspraak voor artikel 45 AVG en dus voor de houdbaarheid van afspraken die hierop gebaseerd zijn?

Dit artikel geeft eerst een korte terugblik op de twee eerdere zaken (Schrems I en II) en bespreekt vervolgens de Latombe-zaak zelf. Daarna volgt een analyse van de gevolgen voor de geldigheid van het DPF en een blik op de bredere politieke context in de VS. Ben je vooral benieuwd wat deze uitspraak concreet betekent voor jouw organisatie? Lees dan hoofdstuk 6 en 7, waar praktische handvatten en aanbevelingen worden gegeven.

1. Schrems I: einde van Safe Harbour

In 2015 verklaarde het Hof van Justitie het Safe Harbour-akkoord ongeldig. De reden was dat Amerikaanse wetgeving grootschalige toegang tot data toestond, terwijl Europese burgers nauwelijks middelen hadden om zich daartegen te verweren. De Commissie had volgens het Hof te gemakkelijk aangenomen dat dit systeem adequaat was.[5]

2. Schrems II: ook Privacy Shield ongeldig

Vijf jaar later, in 2020, trof hetzelfde lot het Privacy Shield. Ook dit kader bood onvoldoende bescherming tegen Amerikaanse surveillance en gaf Europese burgers geen effectief rechtsmiddel. Het Hof benadrukte dat deze tekortkomingen niet verenigbaar waren met de AVG. Daarmee sneuvelde opnieuw een besluit op grond van artikel 45.[6]

3. Latombe: het DPF voor de rechter

Philippe Latombe vroeg het HvJEU om (delen van) de adequaatheidsbeslissing van 10 juli 2023 ongeldig te verklaren. Het ging concreet om de kern van Besluit (EU) 2023/1795 waarmee de Commissie vaststelde dat de VS een ‘adequaat beschermingsniveau’ biedt onder het DPF.[7]

In zijn verzoek voerde hij aan dat 1) de nieuwe Data Protection Review Court (DPRC) niet echt onafhankelijk zou zijn en dat 2) Amerikaanse inlichtingendiensten nog steeds bulkverzameling kunnen toepassen zonder voorafgaande toestemming van een rechter of onafhankelijke autoriteit. Het HvJEU heeft deze bezwaren inhoudelijk beoordeeld en afgewezen. Daarmee blijft het DPF van kracht.

De datum van het adequaatheidsbesluit

Het Hof benadrukt dat de beoordeling plaatsvindt op basis van de situatie op het moment dat de Commissie haar besluit nam. De vraag is dus niet of de Amerikaanse waarborgen vandaag of morgen nog steeds voldoende zijn, maar of ze dat op 10 juli 2023 waren, de datum van de adequaatheidsbeslissing. Toen de beslissing werd genomen, bestond er volgens de Commissie een toereikend beschermingsniveau. Het HvJEU beaamt dit.[8]

Onafhankelijkheid DPRC

Over de onafhankelijkheid van de DPRC stelt het HvJEU dat er destijds duidelijke waarborgen waren rond benoeming, ontslag en werkwijze van de rechters. Zo kan ontslag alleen “for cause” door de Attorney General en mogen noch de Attorney General, noch de inlichtingendiensten de werkzaamheden hinderen of beïnvloeden. In dit licht verwerpt het Hof het betoog dat de DPRC slechts een verlengstuk van de uitvoerende macht zou zijn.[9]

Bulkverzameling door Amerikaanse inlichtingendiensten

Ten aanzien van bulkverzameling wijst het HvJEU op Schrems II. Deze uitspraak eist niet per se voorafgaande autorisatie door een onafhankelijke instantie, maar minimaal een ex-post rechterlijke toetsing. Het dossier laat zien dat het onderscheppen van elektronische communicatie door Amerikaanse inlichtingendiensten (zogeheten signal intelligence-activiteiten) ex post onder rechterlijk toezicht staat, waaronder toetsing via de DPRC. Daarmee is, aldus het HvJEU, niet aangetoond dat de Amerikaanse praktijk per definitie onder de EU-drempel blijft of dat het beschermingsniveau niet “wezenlijk gelijkwaardig” is.[10]

Adequaatheid vergt onderhoud

Verder benadrukt het HvJEU de doorlopende monitoringplicht van de Commissie. Zodra het Amerikaanse recht of de praktijk zodanig verandert dat het beschermingsniveau niet langer adequaat is, moet de Commissie opschorten, wijzigen of intrekken. Dat mechanisme onderstreept dat adequaatheid geen eenmalig stempel is, maar een oordeel dat aan verandering onderhevig kan zijn.[11]

4. Maar biedt dit dan wel zekerheid?

De Latombe-uitspraak maakt duidelijk dat het DPF voorlopig blijft staan. Het HvJEU bevestigt dat de Europese Commissie de VS als adequaat mocht aanmerken. Dit geeft organisaties voorspelbaarheid: zij mogen persoonsgegevens blijven doorgeven op basis van het DPF, zonder dat daarvoor eerst aanvullende contracten nodig zijn. Voor duizenden bedrijven die afhankelijk zijn van Amerikaanse clouddiensten of software is dit van grote betekenis.

Tegelijk laat de uitspraak zien dat er ook kwetsbaarheden zijn. Artikel 45 wordt gelezen als een dynamisch mechanisme: de toets ziet op het juridische en feitelijke kader op het moment van de beslissing, met de plicht voor de Commissie om opnieuw in te grijpen zodra de situatie verandert. Adequaatheid is dus geen garantie voor de toekomst.[12]

Daar komt bij dat eerdere besluiten over Safe Harbour en Privacy Shield uiteindelijk door het Hof zijn vernietigd. Het is niet ondenkbaar dat een hoger beroep in de Latombe-zaak eenzelfde resultaat kan hebben. De lat ligt hoog: zodra twijfel ontstaat over de onafhankelijkheid van toezicht of de proportionaliteit van surveillance, kan het Hof alsnog ingrijpen.

5. Trump heeft het niet zo met privacy

Palantir

De politieke context in de VS versterkt die onzekerheid. Nu Donald Trump opnieuw president is, staat het Amerikaanse beleid op het gebied van privacy extra onder druk. Onder zijn bewind krijgt Palantir, een technologiebedrijf gespecialiseerd in data-analyse en kunstmatige intelligentie, grote contracten met federale instanties zoals de IRS, het Pentagon en immigratieautoriteiten. Critici waarschuwen dat deze samenwerking kan leiden tot grootschalige centralisatie van data en intensievere surveillance, zonder dat daar transparantie of voldoende waarborgen tegenover staan.[13]

Medicaidgegevens naar ICE

Eerder bleek al uit een maatregel van de Trump-administratie dat privacy snel ondergeschikt kan raken aan andere belangen: gevoelige Medicaid-gegevens van miljoenen Amerikanen, waaronder naam, adres, socialezekerheidsnummer, immigratiestatus en gezondheidsclaims, werden gedeeld met het Department of Homeland Security.[14] Volgens privacyvoorvechters was dit waarschijnlijk in strijd met de federale gezondheidsprivacywet HIPAA. Twintig staten, geleid door Californië, stapten naar de rechter om deze praktijk te blokkeren en eisten dat de regering ermee zou stoppen.[15] Inmiddels heeft een federale rechter in Californië het delen van Medicaid-gegevens met immigratieautoriteiten verboden, en ook bepaald dat de reeds gedeelde gegevens niet voor immigratiehandhaving mogen worden gebruikt.

ICE en spyware

Daarbij komt dat de Amerikaanse immigratiedienst ICE inmiddels gebruikmaakt van de Israëlische spyware Graphite, die zelfs versleutelde apps zoals WhatsApp en Signal kan binnendringen. Dit programma startte onder Biden, maar wordt door Trump voortgezet en uitgebreid, wat de zorgen over massasurveillance en gebrek aan waarborgen verder vergroot.[16]

6. Wat betekent dit voor jouw organisatie?

De Latombe-zaak biedt voorlopig ademruimte, maar lost de fundamentele spanning niet op. Het DPF is niet ongeldig verklaard, maar de mogelijkheid van hoger beroep blijft bestaan.[17] Ook kan het DPR onder druk komen te staan door politieke ontwikkelingen in de VS. Organisaties die sterk leunen op Amerikaanse infrastructuur doen er daarom goed aan alert te blijven. Concreet betekent dit dat het verstandig is om niet alleen te vertrouwen op de huidige situatie, maar om alvast vooruit te kijken.

In kaart brengen gegevensstromen naar VS

Een eerste stap is het in kaart brengen van de eigen gegevensstromen naar de VS. Welke persoonsgegevens gaan de oceaan over, via welke systemen en met welk doel? Denk aan klantendata die in Amerikaanse clouddiensten wordt verwerkt, salarisgegevens die via een Amerikaanse HR-dienstverlener lopen, of communicatie via platforms die hun servers buiten de EU hebben staan. Door dit overzicht te maken wordt ook duidelijk welke doorgiften nu leunen op het DPF en waar andere grondslagen, zoals standaardcontracten, worden gebruikt. Zo zie je meteen welke processen het meest kwetsbaar zijn bij een nieuwe juridische wending.

Alternatieve mechanismen voor doorgifte

Vervolgens is het verstandig om na te denken over fallback-opties. Als het DPF morgen zou wegvallen, welke alternatieve mechanismen kan jouw organisatie dan inzetten? De meest voor de hand liggende zijn de standaardcontracten (SCC’s), maar die vragen om tijdige voorbereiding en goed beheer. Organisaties die dit nu al klaar hebben liggen, kunnen sneller schakelen als de juridische kaders opnieuw veranderen.

Beveilig

Denk ook aan technische en organisatorische maatregelen. Encryptie, pseudonimisering en dataminimalisatie zijn geen overbodige luxe, maar praktische manieren om de risico’s van doorgifte te beperken. Zeker bij gevoelige gegevens, zoals gezondheidsinformatie of financiële data, kan dit een cruciale rol spelen. Het voordeel van zulke maatregelen is dat ze de risico’s verkleinen en de afhankelijkheid van één juridisch instrument verminderen. Ze vormen geen vervanging van een geldige doorgiftegrondslag, maar zorgen er wel voor dat persoonsgegevens beter beschermd blijven en dat een overstap naar alternatieve mechanismen, zoals SCC’s, eenvoudiger en minder ingrijpend wordt.

Alternatieve systemen

Ten slotte loont het om breder te kijken naar de markt. Veel diensten die nu standaard bij Amerikaanse leveranciers worden afgenomen, zijn ook in Europa beschikbaar. Denk bijvoorbeeld aan salarisadministratie of HR-systemen: waar veel organisaties automatisch kiezen voor aanbieders als Workday of ADP, bestaan er ook Europese alternatieven zoals Personio uit Duitsland, SD Worx uit België of het Noorse Visma. Ook bij CRM-systemen is Salesforce lang de vanzelfsprekende keuze, terwijl pakketten als SuperOffice uit Noorwegen en Efficy uit België een Europees alternatief kunnen zijn.

Sectorale regelgeving

Naast de AVG spelen in veel sectoren aanvullende regels een rol bij de keuze voor IT- en clouddiensten. Denk aan de Digital Operational Resilience Act (DORA) voor de financiële sector, de Cyber Resilience Act (CRA) voor producten met digitale elementen en de Critical Entities Resilience-richtlijn (CER) voor vitale infrastructuur. Deze kaders leggen nadruk op beveiliging, continuïteit en beheersing van toeleveringsketens. Daarmee beïnvloeden ze indirect ook de vraag of een organisatie zich kan veroorloven om kritieke diensten bij Amerikaanse partijen onder te brengen, of dat een Europese aanbieder de voorkeur verdient. Het kan nuttig zijn om alvast een overstapscenario te ontwikkelen. Dat hoeft niet te betekenen dat je nu al migreert, maar wel dat je weet welke alternatieve leveranciers er zijn en hoe een overstap praktisch uitgevoerd kan worden. Daarmee win je tijd en rust als er onverwacht toch geschakeld moet worden.

7. Conclusie

Kortom: het DPF is op dit moment bruikbaar en praktisch, maar wie vooruitdenkt en nu al alternatieven en maatregelen klaarzet, voorkomt dat een toekomstige juridische wending de bedrijfsvoering onverwacht onder druk zet. Voor organisaties betekent dit dat gegevens voorlopig zonder aanvullende barrières naar de VS kunnen gaan, maar dat de bescherming in de praktijk sterk afhankelijk blijft van politieke en juridische ontwikkelingen. De kernvraag of Amerikaanse wetgeving echt een gelijkwaardig niveau van privacybescherming biedt, is nog steeds niet definitief beantwoord.

Deze zaak markeert daarmee geen eindpunt, maar een tussenstation. Artikel 45 blijft het centrale instrument voor internationale doorgiften, maar zolang de balans tussen economische belangen en grondrechten op scherp staat, zal elke nieuwe beslissing onder een vergrootglas liggen.

[1] Hierna: HvJEU.

[2] Hierna: DPF.

[3] HvJ EU (Gerecht) 3 september 2025, zaak T-553/23, Latombe / Commissie. Link:

https://media.licdn.com/dms/document/media/v2/D4E1FAQFV-5vp-6IepQ/feedshare-document-pdf-analyzed/B4EZkOcpLJIIAY-/0/1756884015547?e=1757548800&v=beta&t=mcU4qCtGIawIkuo5aPmH8QqPT6d1ScLJa6mI1JF7bKw.

[4] Artikel 45 AVG.

[5] HvJ EU 6 oktober 2015, zaak C-362/14, Maximillian Schrems / Data Protection Commissioner, ECLI:EU:C:2015:650.

[6] HvJ EU 16 juli 2020, zaak C-311/18, Data Protection Commissioner / Facebook Ireland & Maximillian Schrems, ECLI:EU:C:2020:559.

[7] Zie Uitvoeringsbesluit (EU) 2023/1795 van de Commissie van 10 juli 2023, PB L 231 van 20 september 2023, p. 118–229.

[8] HvJ EU (Gerecht) 3 september 2025, zaak T-553/23, Latombe / Commissie, p.2.

[9] HvJ EU (Gerecht) 3 september 2025, zaak T-553/23, Latombe / Commissie, p.1-2.

[10] HvJ EU (Gerecht) 3 september 2025, zaak T-553/23, Latombe / Commissie, p.2.

[11] HvJ EU (Gerecht) 3 september 2025, zaak T-553/23, Latombe / Commissie, p.2.

[12] Artikel 45 lid 3 en lid 4 AVG.

Zie ook HvJ EU (Gerecht) 3 september 2025, zaak T-553/23, Latombe / Commissie, p.2.

[13] The New York Times, “Trump and Palantir: A Data Powerhouse Reshaping How the U.S. Handles Americans’ Information”, 30 mei 2025. Link: https://www.nytimes.com/2025/05/30/technology/trump-palantir-data-americans.html.

The Guardian, “Palantir is a threat to Americans’ freedoms – and Trump is giving it more power”, 30 juni 2025. Link: https://www.theguardian.com/commentisfree/2025/jun/30/peter-thiel-palantir-threat-to-americans.

[14] AP News. “Trump administration hands over nation’s Medicaid enrollee data to ICE.” 17 juli 2025. Link: https://apnews.com/article/immigration-medicaid-trump-ice-ab9c2267ce596089410387bfcb40eeb7.

[15] AP News, “20 states sue Trump administration over Medicaid data sharing with Homeland Security”, 2 Juli 2025. Link: https://apnews.com/article/trump-medicaid-immigrant-california-161f7e1b9087512d674258f32f822878.

[16] The Guardian, “Trump administration expands ICE use of Israeli spyware Graphite to monitor immigrants”, 2 september 2025. Link: https://www.theguardian.com/us-news/2025/sep/02/trump-immigration-ice-israeli-spyware?utm_source=chatgpt.com.

[17] Alhoewel dan ook ex-tunc zal worden geoordeeld.