Het Europees Gerecht bevestigt de geldigheid van het EU-US Data Privacy Framework. Is de trans-Atlantische databrug nu officieel geopend?

19/01/2026
Het Europees Gerecht bevestigt de geldigheid van het EU-US Data Privacy Framework. Is de trans-Atlantische databrug nu officieel geopend?
Blog

Met de uitspraak van het Europees Gerecht van 3 september 2025, waarin de geldigheid van het zogenaamde “EU-US Data Privacy Framework” (kortweg het “DPF”) werd bevestigd, lijkt er eindelijk opnieuw stabiliteit te komen in de doorgifte van persoonsgegevens naar de Verenigde Staten. Deze doorgifte vindt voornamelijk plaats omdat Europese ondernemingen op grote schaal gebruik maken van diensten van Amerikaanse softwarebedrijven zoals Microsoft, Google en Salesforce, waarvan de clouddiensten persoonsgegevens verwerken op servers in de VS.
Europese ondernemingen kunnen het DPF blijven gebruiken als grondslag om een passend beschermingsniveau voor gegevensoverdrachten tussen de EU en de VS te waarborgen. Voor het eerst sinds lange tijd kunnen Europese ondernemingen opnieuw rekenen op een vorm van rechtszekerheid bij het gebruik van Amerikaanse technologie- en cloudleveranciers, of toch niet?

Nieuwe hervormingen sinds Schrems II

De uitwisseling van persoonsgegevens tussen de EU en de VS kent een bewogen verleden. De juridische raamwerken voor de uitwisseling sneuvelden telkens bij het Europees Hof van Justitie in de spraakmakende zaken Schrems I (2015) en Schrems II (2020).

Volgens het Hof schoot de Amerikaanse wetgeving tekort omdat zij onvoldoende waarborgen bood tegen de ruime toegang van Amerikaanse inlichtingen- en veiligheidsdiensten tot persoonsgegevens. Daarnaast beschikten Europese burgers volgens het Hof over onvoldoende middelen om deze inmenging juridisch aan te vechten.

Naar aanleiding van de bezwaren van het Europees Hof van Justitie, voerde de Amerikaanse overheid ingrijpende hervormingen door. Er werden strengere regels opgelegd aan de inlichtingendiensten waarbij de nadruk werd gelegd op de GDPR-principes van proportionaliteit en noodzakelijkheid. Daarnaast werd er een nieuwe rechtbank opgericht, de zogenaamde “Data Protection Review Court” (“DPRC”) om Europese burgers te ondersteunen en de mogelijkheid te bieden om juridische stappen te kunnen nemen tegen onrechtmatige toegang tot hun persoonsgegevens.

Op grond van deze hervormingen heeft de Europese Commissie op 10 juli 2023 geoordeeld dat de VS opnieuw een adequaat beschermingsniveau waarborgden. Het “EU-US Data Privacy Framework” trad vervolgens in werking en bood een juridisch kader voor de doorgifte van persoonsgegevens vanuit de EU naar de VS.

Deze beslissing riep echter meteen heel wat kritiek op. Een Franse staatsburger, de heer Latombe, was het hier niet mee eens en stapte naar het Europees Gerecht. Volgens de heer Latombe kon de DPRC niet worden beschouwd als een werkelijk onafhankelijk en onpartijdig rechtscollege en zou het orgaan te sterk verweven zijn met de uitvoerende macht. Daarnaast stelde de heer Latombe dat de Amerikaanse wetgeving onvoldoende waarborgen bood tegen massale gegevensonderschepping (zogenaamde “bulk data interception”) door inlichtingen- en veiligheidsdiensten. Dit zou kunnen gebeuren zonder voorafgaande en daadwerkelijke rechterlijke toetsing.

Het Gerecht heeft recent echter geoordeeld dat de argumenten van Latombe geen stand houden en wijst het beroep tot nietigverklaring dan ook af. Ten aanzien van de onafhankelijkheid van de DPRC stelt het Gerecht vast dat de rechters van dit orgaan voldoende waarborgen genieten om hun functie onafhankelijk uit te oefenen, onder meer door hun benoemingsprocedure en de bescherming tegen willekeurig ontslag.

Wat betreft de massale gegevensonderschepping concludeert het Gerecht dat de Amerikaanse wetgeving, zoals gewijzigd na Schrems II, vandaag voorziet in adequate beperkingen en toezichtmechanismen die in overeenstemming zijn met de vereisten van het Unierecht inzake proportionaliteit en noodzakelijkheid.

De juridische saga is nog niet ten einde

Deze uitspraak wordt door sommigen gevierd als een “overwinning” voor de vrije gegevensstroom tussen de EU en de VS, na de eerdere “nederlagen” (in Schrems I en II). Toch is voorzichtigheid geboden om het arrest-Latombe te beschouwen als een definitieve en allesomvattende goedkeuring van het DPF.

Het arrest van het Gerecht is immers vatbaar voor hoger beroep bij het Hof van Justitie, en kan door het Hof nog steeds worden verworpen. Gezien de eerdere jurisprudentie is het geenszins uitgesloten dat het hoogste Europese rechtscollege opnieuw kritische kanttekeningen zal plaatsen bij de waarborgen die de Verenigde Staten bieden.

Bovendien heeft het Gerecht zich uitsluitend uitgesproken over de geldigheid van het adequaatheidsbesluit van de Commissie, en niet over de concrete toepassing ervan in individuele gevallen.

Europese ondernemingen die persoonsgegevens naar de VS doorsturen, blijven derhalve gehouden om zelf een grondige beoordeling te maken van de risico’s en waar nodig aanvullende waarborgen te treffen.

Wat betekent dit voor jouw onderneming?

  1. Het is essentieel om zorgvuldig in kaart te brengen waar jouw persoonsgegevens (of die van je klanten of medewerkers) worden opgeslagen en of deze buiten de Europese Economische Ruimte (“EER”) worden doorgegeven. Denk hierbij bijvoorbeeld aan veelgebruikte tools zoals Microsoft 365 (Outlook, Teams, OneDrive, SharePoint), Google Workspace, Amazon Web Services of andere Amerikaanse cloud- en softwarediensten. Bij het gebruik van dergelijke diensten worden persoonsgegevens doorgaans verwerkt op servers in de Verenigde Staten.
  2. Raadpleeg hiervoor steeds de privacyverklaring van de betrokken klant of leverancier. Bij Microsoft bijvoorbeeld kan je via het Microsoft Trust Center nagaan waar gegevens worden opgeslagen en welke doorgiftemechanismen worden gehanteerd. Een grondige inventarisatie van de gegevensstromen en de betrokken (sub)verwerkers vormt hierbij de eerste stap naar een conforme en toekomstbestendige gegevensbescherming.
  3. Persoonsgegevens kunnen – momenteel – worden doorgegeven aan Amerikaanse organisaties die gecertificeerd zijn onder het EU-US Data Privacy Framework. Verifieer dus steeds of jouw Amerikaanse partner daadwerkelijk op de officiële DPF-lijst is opgenomen alvorens tot doorgifte over te gaan. Microsoft Corporation is bijvoorbeeld gecertificeerd onder het DPF, maar dit geldt niet automatisch voor alle Amerikaanse dienstverleners.
  4. Ondanks de huidige geldigheid van het DPF als rechtsgrond voor gegevensdoorgifte, blijft het aangewezen om alternatieve doorgiftemechanismen niet volledig buiten beschouwing te laten. Grote technologiebedrijven zoals Microsoft en Google hanteren naast het DPF vaak ook standaardcontractbepalingen (SCC’s) als aanvullende waarborg. Het is raadzaam om na te gaan of jouw leveranciers dergelijke aanvullende mechanismen aanbieden en deze waar mogelijk te implementeren. Het hanteren van een combinatie van diverse juridische instrumenten kan bijdragen tot een meer robuuste en toekomstbestendige strategie binnen dit voortdurend evoluerende rechtsdomein.

Onze PKF BOFIDI Legal advocaten staan voor jou klaar

Voor verdere vragen rond gegevensbescherming en doorgifte buiten de EER, neem gerust contact op met ons PKF BOFIDI Legal team en wij helpen je graag verder.
Voor een opfrissing van de GDPR-regelgeving, kan je ons vorig artikel raadplegen.

Dit artikel werd geschreven door Lauranne Piotrowski.

Meer weten over
Blog gdprLegalPKF BOFIDIPKF BOFIDI Legal

Schrijf je in op onze nieuwsbrief

Ontvang inzichten in je mailbox

Inschrijven