Voor het eerst doorstaat een akkoord tussen de EU en de VS over het delen van persoonsgegevens de toets van Europese rechter. Het arrest Latombe t. Europese Commissie (Gerecht van de EU, 3 september 2025) bevestigt immers dat het EU-VS Data Privacy Framework (DPF) een passend beschermingsniveau biedt, zoals vereist door de EU’s Algemene Verordening Gegevensbescherming (AVG).
Met de Amerikaanse waarborgen kunnen Europese bedrijven nu zonder zorgen gebruik blijven maken van Amerikaanse cloud- en IT-diensten. Of blijft voorzichtigheid geboden?
De AVG beoogt sinds 2018 een hoog en uniform niveau van gegevensbescherming binnen de Europese Economische Ruimte (EER). Veel ondernemingen zijn echter ook actief buiten deze zone of doen zaken met bedrijven die buiten de EER zijn gevestigd, zodat persoonsgegevens worden verwerkt buiten de EER.
Dergelijke doorgifte van persoonsgegevens is in principe enkel toegestaan wanneer een passende gegevens bescherming kan worden gegarandeerd door middel van een van de mechanismen waarin de AVG voorziet. Een adequaatheidsbesluit aangenomen door de Europese Commissie, waarbij het beslist dat een niet-EER land een passend beschermingsniveau biedt, is een van de mechanismen dat de AVG voorziet om dergelijke garanties te verzekeren.
Gelet op de gedeelde handelsbelangen, werkt de EU al jarenlang nauw samen met de Verenigde Staten van Amerika om een passend reglementair kader tot stand te brengen dat voldoet aan de strenge vereisten van de AVG. Afluisterschandalen en gebrek aan onafhankelijk toezicht in de VS bleken herhaaldelijk een struikelblok.
Zo werd het Safe Harbour Agreement van 2000 vernietigd door het Schrems I-arrest van het Hof van Justitie in 2015 en ook het Privacy Shield van 2016 werd vernietigd door het Schrems II-arrest in 2020. In beide arresten oordeelde het HvJ dat de Amerikaanse veiligheidsdiensten over te ruime bevoegdheden beschikten en dat EU-burgers onvoldoende rechtsmiddelen hadden tegen onevenredige inmenging.
Na deze arresten werden er opnieuw onderhandelingen gevoerd met de VS over een nieuw reglementair kader dat zowel aan de AVG als aan het Handvest van de grondrechten van de EU zou beantwoorden. Dat leidde tot het uitvoeringsbesluit 2023/1795 van de Europese Commissie waarmee het EU-VS Data Privacy Framework (zelfcertificeringsmechanisme waarbij bedrijven die zich zelf hebben gecertificeerd onder het DPF moeten voldoen aan de principes, regels en verplichtingen met betrekking tot de verwerking van persoonsgegevens van personen uit de EER) werd bekrachtigd.
Dit reglementair kader voorziet in nieuwe waarborgen bij de verwerking van persoonsgegevens door Amerikaanse veiligheidsdiensten en in de oprichting van de Data Protection Review Court (DPRC).
Kort na de inwerkingtreding van het DPF, stelde de Franse Europarlementariër Philippe Latombe bij het Gerecht van de EU een vordering tot nietigverklaring van het adequaatheidsbesluit in. Hij voerde aan dat de Europese Commissie haar beoordelingsmarge had overschreden door te besluiten dat de Verenigde Staten een passend beschermingsniveau boden.
Volgens Latombe bood de Amerikaanse rechtssysteem, ook na de inwerkingtreding van bijkomende garanties, nog steeds te weinig waarborgen voor essentiële AVG-vereisten, en met name op gebied van (1) een doeltreffend rechtsmiddel, (2) inmenging door inlichtingendiensten, (3) geautomatiseerde besluitvorming, en (4) beveiliging van verwerking.
De Europese Commissie zou bij het beoordelen van het DPF onvoldoende rekening hebben gehouden met de eerdere Schrems I en II-rechtspraak, waardoor het nieuwe kader in essentie nog steeds dezelfde tekortkomingen vertoonde.
Het Gerecht verwierp de grieven van Latombe echter integraal en bevestigde daarmee de rechtsgeldigheid van het DPF:
Het Gerecht besliste dat de DPRC functioneel onafhankelijk is en beschermd is tegen ongeoorloofde inmenging. Haar leden worden weliswaar door de uitvoerende macht benoemd en ontslagen, maar genieten voldoende bescherming. Dat de DPRC niet behoort tot de rechterlijke macht, acht het Gerecht geoorloofd omdat de waarborgen gelijkaardig zijn, en haar beslissingen bindend en definitief zijn voor de Amerikaanse overheid en de inlichtingendiensten.
Volgens Latombe biedt het Amerikaanse recht geen gepast beschermingsniveau, omdat inlichtingendiensten persoonsgegevens nog steeds “bulksgewijs” kunnen verzamelen zonder voorafgaande rechterlijke of administratieve toestemming. Het Gerecht verwierp dit betoog. Het oordeelde dat in de VS geen ongedifferentieerde of massale gegevensverzameling is toegestaan. Alleen wanneer gerichte verzameling onmogelijk zou zijn, mag er beperkt en onder voorwaarden “bulksgewijs” persoonsgegevens worden verzameld. Zulke handelingen moeten echter noodzakelijk en proportioneel zijn en kunnen achteraf worden gecontroleerd door een onafhankelijk orgaan.
Een algemeen verbod op zuiver geautomatiseerde besluitvorming (zonder menselijke tussenkomst) zoals de AVG dat oplegt, wordt niet overgenomen door de VS. In de VS verschillen de regels over automatische besluitvorming per sector en naar gelang het type organisatie. Toch vindt het Gerecht dat het Amerikaanse systeem voldoende bescherming biedt omdat het DPF bepaalde transparantieverplichtingen oplegt aan organisaties en burgers het recht hebben om een “menselijke herziening” van een geautomatiseerde beslissing te vragen. Ook zijn er toezichthoudende mechanismen die klachten van burgers kunnen behandelen.
Terwijl de AVG voorziet in een algemeen bindende verplichting om persoonsgegevens te beveiligen, geldt deze verplichting in de VS enkel voor organisaties die zich formeel aansluiten bij het DPF. Volgens het Gerecht heeft de Europese Commissie voldoende onderzocht of het Amerikaanse certificeringssysteem een passende bescherming biedt. Omdat aangesloten organisaties zich contractueel verbinden om gepaste veiligheidsmaatregelen te nemen en onder een toezichthoudende overheid staan, vindt het Gerecht dat er weldegelijk sprake is van een vergelijkbaar beschermingsniveau.
Steeds benadrukt het Gerecht daarbij dat het Amerikaanse systeem niet identiek moet zijn aan de AVG-voorschriften, zolang het beschermingsniveau in de praktijk “substantieel gelijkwaardig” is. Ondanks dat het DPF voorlopig standhoudt, zijn er tekenen dat de toekomst van het DPF niet geheel zeker is.
Naast een mogelijk beroepsmiddel van Latombe tegen dit arrest kan instellen, hebben verschillende privacy-organisaties, waaronder het NOYB (None of Your Business) – opgericht door Max Schrems – al aangekondigd het DPF op bredere gronden te zullen aanvechten via zowel administratieve als gerechtelijke wegen.
Ten slotte worden adequaatheidsbesluiten, zoals het DPF, iedere vier jaar geëvalueerd. De eerste evaluatie van het DPF zal dus uiterlijk in 2027 plaatsvinden. De Europese Commissie zal daarbij moeten nagaan of de VS de beloofde waarborgen effectief blijven naleven. In het huidige onvoorspelbare politieke klimaat van handelsoorlogen en beleidskoersen blijft dit nog maar de vraag…