Safe Harbor Review betekent dat alles voorlopig gewoon doorgaat

Door Danny Bradbury • 7 oktober 2025

September was een keerpunt voor Europese bedrijven die data wilden delen met de VS. Het Gerecht van de Europese Unie verwierp een bezwaar tegen een privacykader tussen de twee landen. Dit betekent dat Amerikaanse organisaties persoonsgegevens uit de EU kunnen blijven importeren.

De aanklacht tegen het EU-VS Data Privacy Framework (DPF) kwam van de Franse parlementariër Philippe Latombe. Hij was ontevreden over de details van het kader, dat duizenden Amerikaanse bedrijven een wettelijke mogelijkheid biedt om persoonsgegevens uit de EU over te dragen. Hij had een besluit van de EU om het DPF toe te staan te opereren, om twee redenen aangevochten.

Ten eerste stelde hij dat het Amerikaanse Data Privacy Review Court (DPRC) niet onafhankelijk of onpartijdig was. Deze rechtbank, die is aangesteld door het Framework, is een door de VS gerund orgaan dat klachten van EU-ingezetenen over de behandeling van hun gegevens beoordeelt. Hij klaagde er tevens over dat de verzameling van bulkgegevens door de Amerikaanse inlichtingendiensten zonder voorafgaande toestemming van de rechtbank in strijd was met het Handvest van de grondrechten van de EU.

Dit was niet de eerste keer dat de EU te maken kreeg met kritiek op privacykaders. Advocaat Max Schrems had eerder al twee pogingen tot gelijkwaardigheidskaders tussen de EU en de VS aangevochten.

Schrems diende zijn eerste klacht in 2013 in, waarin hij de Amerikaanse gegevensoverdracht onder Safe Harbor aanvocht, naar aanleiding van de onthullingen van Edward Snowden over de surveillance door de NSA. De Schrems I-uitspraak van oktober 2015 maakte Safe Harbor volledig ongeldig en oordeelde dat de Amerikaanse surveillancewetgeving inmenging toestond die verder ging dan "strikt noodzakelijk".

De EU en de VS probeerden het opnieuw met het Privacy Shield, dat Safe Harbor in 2016 verving, maar Schrems betwistte onmiddellijk zowel het nieuwe kader als de standaardcontractbepalingen, met het argument dat de onderliggende Amerikaanse toezichthoudende autoriteiten ongewijzigd waren gebleven. De Schrems II-uitspraak van juli 2020 maakte het Privacy Shield ongeldig, maar handhaafde de standaardcontractbepalingen (SCC's), EU-overeenkomsten die organisaties kunnen gebruiken om gegevensoverdrachten te autoriseren. Deze vereisen Transfer Impact Assessments (TIA's) die bedrijven verplichten om zelf een due diligence uit te voeren om te bepalen of EU-gegevens in het land van bestemming beschermd zullen zijn.

Het niet overtuigen van de rechtbank

Als Latombe zijn eerste bezwaar had gewonnen, zouden bedrijven teruggeworpen zijn in de omslachtige wereld van SCC's. De rechtbank was het echter niet met hem eens. Rechters kunnen alleen door de procureur-generaal worden benoemd, zo betoogde de rechtbank, en oordeelde dat dit voldeed aan de definitie van onafhankelijkheid. De rechtbank voegde eraan toe dat bulkrechtbanken geen voorafgaande goedkeuring nodig hadden voor bulkincasso onder Schrems II. In plaats daarvan stelde de rechtbank: ex post (Achteraf) toestemming is voldoende. De DPRC verstrekt die al.

Dit alles wijst erop dat de bescherming onder het Amerikaanse recht ‘in wezen gelijkwaardig’ is aan die onder het Europese recht, aldus de uitspraak, aankondiging van het HvJ-EU.

Het is pas voorbij als het voorbij is

Dus, wat betekent dit voor de status quo? Op het eerste gezicht lijkt het erop dat Amerikaanse bedrijven ongestraft gegevens van EU-burgers kunnen blijven overdragen. Maar laat de wetboeken nog niet terzijde; er zijn al verdere juridische procedures in de maak die erop wijzen dat dit nog niet voorbij is.

NOYB (de organisatie van Schrems, wat staat voor "None Of Your Business") stelt dat het DPF simpelweg dezelfde toezichtbevoegdheden herverpakt die het HvJ-EU twee keer heeft afgewezen. "De beschermingsmaatregelen onder de nieuwe overeenkomst zijn vrijwel een kopie van de eerdere overeenkomsten die het HvJ-EU in Schrems I en Schrems II onrechtmatig heeft bevonden", aldus het hof. "Op sommige punten zijn de beschermingsmaatregelen zelfs slechter dan in het oudere presidentiële besluit, dat voor het HvJ-EU niet toereikend was. Het is daarom verrassend dat het Gerecht een andere uitspraak doet over de derde versie van de EU-VS-overeenkomst dan over de twee voorgaande versies."

Latombe kan nu in beroep gaan, met een deadline van half november van dit jaar. Nu privacyactivisten de uitspraak bekritiseren, is de kans groot dat het DPF opnieuw onder vuur zal komen te liggen.

Met dit in gedachten doen organisaties er goed aan om een gelaagde aanpak van gegevensoverdracht te hanteren als de meest juridisch veerkrachtige strategie, zeggen juristen. Bindende bedrijfsregels (BCR's) spelen hierbij ook een rol. Dit zijn overeenkomsten die bedrijven sluiten met toezichthouders om gegevens binnen hun eigen kantoren over landsgrenzen heen over te dragen.

“Voorlopig blijft het DPF een geldig en gestroomlijnd pad voor de overdracht van persoonsgegevens van de EU naar de VS.” legt uit advocatenkantoor Clifford Chance. "Bouw eromheen, houd de SCC/BCR-draaiboeken gereed, vernieuw de Transfer Impact Assessments (met verwijzing naar EO 14086 en de DPRC waar relevant) en houd zowel het beroeps- als het Amerikaanse toezicht in de gaten", adviseerde het bedrijf.

In 2021 heeft de Europese Raad voor Gegevensbescherming (EDPB) ook gepubliceerde leidraad over wat gegevensexporteurs kunnen doen om de gegevensbescherming in de EU te handhaven bij het exporteren van gegevens naar andere landen. Dit document adviseert exporteurs om hun gegevensoverdrachten volledig te documenteren en de overdrachtstool die ze gebruiken te verifiëren conform artikel 46 van de AVG. Naast SSC's en BCR's omvatten dergelijke tools ook gedragscodes, certificeringsmechanismen en ad-hoc contractuele clausules. Ze dienen ook de wetgeving van het land van bestemming te beoordelen als er geen adequaatheidsovereenkomst is. Het adviseert ook over aanvullende maatregelen, zoals encryptie van de gegevens, waarbij de sleutels in de EU worden bewaard.

Voorlopig is het business as usual, maar de verantwoordelijkheden voor risicomanagement vereisen een noodplan. Met een chaotische regering in het westen en het gevaar van verdere juridische uitdagingen in Europa, zouden bedrijven niet volledig op het DPF moeten vertrouwen.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury