Heeft het Europees Gerecht de doorgifte van data naar de VS nu definitief goedgekeurd?

Ja, voorlopig wel. In een langverwacht arrest van 3 september 2025 heeft het Europees Gerecht de eerste juridische aanval op het EU-US Data Privacy Framework (DPF) volledig afgewezen. Volgens het Gerecht biedt de Verenigde Staten, dankzij recente hervormingen, een adequaat en substantieel gelijkwaardig beschermingsniveau voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven. Deze uitspraak brengt, althans voorlopig, een einde aan een periode van grote rechtsonzekerheid voor duizenden Europese bedrijven.

De feiten en juridische context: de lange weg na Schrems I en II

De doorgifte van persoonsgegevens tussen de EU en de VS kent een turbulent verleden. Twee eerdere raamwerken, de Safe Harbour-beginselen en het latere Privacy Shield, werden door het Europees Hof van Justitie ongeldig verklaard in de spraakmakende arresten Schrems I (2015) en Schrems II (2020).

De kern van het probleem was telkens dezelfde: het Hof oordeelde dat de Amerikaanse wetgeving onvoldoende bescherming bood tegen de grootschalige toegang tot persoonsgegevens door Amerikaanse inlichtingen- en veiligheidsdiensten. Bovendien ontbrak het Europese burgers aan een effectieve rechtsgang om zich tegen deze praktijken te verweren.

Om aan deze fundamentele bezwaren tegemoet te komen, voerde de Amerikaanse overheid belangrijke wijzigingen door. Via Executive Order 14086 werden nieuwe, strengere regels opgelegd aan inlichtingendiensten, met nadruk op de principes van noodzakelijkheid en proportionaliteit. Belangrijk was de oprichting van de Data Protection Review Court (DPRC), een nieuw orgaan dat Europese burgers een bindende en onafhankelijke rechtsgang moet bieden.

Op basis van deze garanties oordeelde de Europese Commissie op 10 juli 2023 dat de VS opnieuw een “adequaat beschermingsniveau” verzekerden en werd het EU-US Data Privacy Framework van kracht. Het was tegen deze beslissing dat de Franse staatsburger Philippe Latombe een nietigheidsberoep instelde bij het Europees Gerecht.

De beslissing van het Gerecht

Het Gerecht heeft het beroep van Latombe volledig verworpen en elk van zijn argumenten van de tafel geveegd. De redenering van het Gerecht is een validatie van de inspanningen die de VS en de Commissie hebben geleverd.

1. De Data Protection Review Court (DPRC) is wel degelijk een onafhankelijk tribunaal

Een centraal argument van de eiser was dat de DPRC geen écht onafhankelijk en onpartijdig gerecht is zoals vereist door het Europees Handvest van de Grondrechten. Het zou te nauw verbonden zijn met de uitvoerende macht.

Het Gerecht gaat hier niet in mee en analyseert grondig de werking van de DPRC. Het stelt vast dat er voldoende waarborgen zijn voor onafhankelijkheid:

• De rechters worden benoemd op basis van strikte criteria, vergelijkbaar met federale rechters, en kunnen enkel om zwaarwichtige redenen uit hun ambt worden ontheven.
• De beslissingen van de DPRC zijn bindend voor de Amerikaanse inlichtingendiensten.
• Het feit dat de DPRC is opgericht via een presidentieel decreet (een Executive Order) en niet via een formele wet, is volgens het Gerecht geen onoverkomelijk probleem. Wat telt, is dat het systeem in de praktijk een substantieel gelijkwaardige bescherming biedt aan wat in de EU geldt, niet dat de juridische instrumenten identiek zijn.

2. De dataverzameling door inlichtingendiensten is voldoende ingekaderd

De eiser stelde dat de Amerikaanse wetgeving nog steeds grootschalige, zogenaamde ‘bulk’-interceptie van data toelaat zonder voorafgaande rechterlijke toetsing, wat in strijd zou zijn met het Europees recht.

Ook dit argument wordt verworpen. Het Gerecht oordeelt dat het nieuwe kader aanzienlijke verbeteringen bevat die de dataverzameling beperken tot wat noodzakelijk en proportioneel is:

• ‘Getargete’ dataverzameling is de norm. ‘Bulk’-verzameling is enkel toegestaan voor specifieke, vooraf goedgekeurde doelstellingen van nationale veiligheid, zoals de strijd tegen terrorisme of spionage.
• Belangrijker nog is dat er nu een mechanisme van rechterlijke controle a posteriori bestaat via de DPRC. Dit was een fundamentele tekortkoming in het verleden die nu is rechtgezet. Het Gerecht oordeelt dat het ontbreken van een voorafgaande machtiging voor de initiële verzameling aanvaardbaar is, zolang het gehele proces omgeven is met robuuste waarborgen en controlemogelijkheden achteraf.

3. Overige argumenten rond geautomatiseerde besluitvorming en databeveiliging

Twee kleinere argumenten werden eveneens verworpen. Wat betreft het recht om niet onderworpen te zijn aan volledig geautomatiseerde beslissingen, stelde het Gerecht vast dat de meeste gevallen sowieso onder de AVG vallen. Voor de overige, zeldzame gevallen biedt de Amerikaanse sectorale wetgeving (bv. in de krediet- of verzekeringssector) een substantieel gelijkwaardige bescherming.

Ook de kritiek dat de beveiligingsprincipes van het DPF de term “raadpleging” van data niet expliciet vermeldden, werd als niet-overtuigend beschouwd. Het Gerecht oordeelde dat de term “gebruik” van data de “raadpleging” ervan logischerwijs omvat.

Juridische analyse en duiding

De kern van de redenering in dit arrest is de praktische manier waarop het Gerecht de regel van “substantiële gelijkwaardigheid” toepast. Waar de Schrems-arresten de lat zeer hoog legden en de verschillen tussen het EU- en VS-rechtssysteem benadrukten, focust het Gerecht nu op de vraag of de uitkomst van de geboden bescherming vergelijkbaar is. Het erkent dat de VS andere juridische middelen kan gebruiken (zoals een Executive Order in plaats van een wet) om een gelijkwaardig doel te bereiken.

Dit is een belangrijke nuance. Het Gerecht eist geen kopie van het EU-systeem, maar een Amerikaans systeem dat in de praktijk effectieve rechten en rechtsmiddelen creëert. De oprichting van een functionerende en bindende DPRC, gecombineerd met duidelijkere regels voor de inlichtingendiensten, was voor het Gerecht de doorslaggevende factor om te besluiten dat de Commissie haar strenge controle had doorstaan.

Een opvallende en nieuwe redenering van het Gerecht is de diepgaande analyse van de rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM). In tegenstelling tot het Schrems II-arrest, baseert het Gerecht zich nu uitvoerig op EHRM-uitspraken over surveillance, zoals Big Brother Watch. Door de Amerikaanse waarborgen te toetsen aan deze brede mensenrechtenstandaard – en ze voldoende te bevinden – geeft het Gerecht zijn oordeel een extra solide en breed gedragen juridische basis.

Tot slot is het cruciaal om te begrijpen dat het Gerecht de adequaatheidsbeslissing beoordeelt als een ‘snapshot’ in de tijd. De uitspraak bevestigt enkel de wettigheid van de beslissing op basis van de feiten en de wetgeving zoals die bestonden op 10 juli 2023, de datum van de goedkeuring. Toekomstige wijzigingen in de Amerikaanse wetgeving of praktijk kunnen de situatie veranderen en de Europese Commissie verplichten om de adequaatheid opnieuw te beoordelen en, indien nodig, de beslissing aan te passen of zelfs in te trekken.

Wat dit concreet betekent

• Voor bedrijven: De uitspraak brengt onmiddellijke en welkome rechtszekerheid. U kunt persoonsgegevens blijven doorgeven aan Amerikaanse organisaties die gecertificeerd zijn onder het EU-US Data Privacy Framework. Controleer altijd of uw Amerikaanse partner effectief op de officiële DPF-lijst staat.
• Voor de toekomst: Dit is een uitspraak van het Gerecht (eerste aanleg). Er kan binnen een termijn van twee maanden en tien dagen nog hoger beroep worden aangetekend bij het Hof van Justitie. De juridische saga is dus mogelijk nog niet ten einde. De kans is reëel dat de zaak uiteindelijk opnieuw voor de hoogste Europese rechters zal komen.
• Strategisch advies: Hoewel het DPF momenteel een geldige basis is, blijft het verstandig om alternatieve doorgeefmechanismen, zoals de Standard Contractual Clauses (SCC’s) aangevuld met een Transfer Impact Assessment (TIA), niet volledig af te schrijven. Diversificatie van juridische instrumenten kan een robuuste strategie zijn in dit dynamische rechtsgebied.

FAQ (Veelgestelde vragen)

Is het Data Privacy Framework nu 100% veilig voor de toekomst?
Nee. Tegen deze uitspraak is nog hoger beroep mogelijk bij het Europees Hof van Justitie. Hoewel het DPF nu een solide juridische basis heeft, kan het Hof in de toekomst anders oordelen. De huidige stabiliteit is reëel, maar niet noodzakelijk permanent.

Wat is het belangrijkste verschil met de Schrems-arresten?
De Schrems I en II arresten hebben de vorige data-akkoorden (Safe Harbour en Privacy Shield) ongeldig verklaard. Deze uitspraak bevestigt de geldigheid van het huidige Data Privacy Framework, omdat het oordeelt dat de VS voldoende juridische hervormingen heeft doorgevoerd om de eerder vastgestelde tekortkomingen te verhelpen.

Moet ik mijn contracten met Amerikaanse leveranciers nu aanpassen?
Als u voor de doorgifte van data steunt op het Data Privacy Framework, volstaat het om te verifiëren dat uw partner op de officiële DPF-lijst staat. Het DPF fungeert als een zelfstandige basis voor doorgifte. Als u momenteel Standard Contractual Clauses (SCC’s) gebruikt, hoeft u deze niet onmiddellijk te vervangen, maar voor nieuwe doorgiftes kan het DPF een eenvoudigere optie zijn.

Conclusie en contact

Het arrest in de zaak Latombe/Commissie is een overwinning voor de Europese Commissie en biedt de broodnodige stabiliteit voor trans-Atlantische datastromen. Het Gerecht valideert het nieuwe Amerikaanse rechtskader, inclusief de Data Protection Review Court, als een mechanisme dat een substantieel gelijkwaardig beschermingsniveau biedt.

Ondanks deze positieve uitspraak blijft de wereld van internationale datadoorgifte complex en onderhevig aan juridische evoluties. Een mogelijke beroepsprocedure houdt de toekomst onzeker.